giovedì 19 febbraio 2015

Processo Civile Telematico: guida al calcolo dell'hash (o impronta)

L'11 febbraio 2015 è entrato in vigore il D.P.C.M. 13.11.2014 che nel predisporre nuove regole tecniche relative all'attuazione del Codice dell’Amministrazione Digitale (CAD – D.Lgs. 82/2005) ha aggiunto un altro tassello alla digitalizzazione dell'apparato amministrativo statale.

Il regolamento (artt. 4 e 6) al fine di garantire con certezza assoluta la rispondenza della copia all'originale (degli atti nativi digitali e di quelli acquisiti da supporto analogico), detta nuove regole che trovano applicazione (benché la questione sia ad oggi controversa) anche nel più ampio contesto del Processo Civile Telematico.

Pertanto, gli avvocati che si avvalgono della facoltà di notificare in proprio a mezzo PEC (il D.L. 90/2014, che ha modificato l'art. 1 della l. 53/1994, ha abolito la preventiva autorizzazione del COA), dovranno attenersi a nuove modalità operative, che consistono nel calcolo dell'hash (o "impronta" come la chiamano le fonti legislative) del documento informatico e nella sua menzione nella relata di notifica.

Per quanto riguarda gli aspetti strettamente giuridici della questione rinvio ai numerosi siti che lo trattano, in modo particolare il blog dell'avv. Maurizio Reale (dove è possibile trovare anche degli interessanti modelli di relata conformi alle nuove notificazioni) o il gruppo Facebook PCT processo civile telematico.

Ciò che andremo invece ad affrontare è riguarda tutto ciò che attiene al calcolo dell'hash - impronta su Linux.


Cosa è l'hash?
Semplificando al massimo, si definisce hash una funzione matematica che, partendo da un qualunque file, produce una stringa alfanumerica.
Poiché ciascun file restituisce sempre la stessa stringa, l'indicazione di quest'ultima consente di avere un immediato riscontro matematico della sua integrità, intesa anche come non alterazione. Anche la più insignificante modifica (es. il cambio del nome file) modifica la stringa.
Nel nostro caso il file (il più delle volte pdf) è naturalmente l'atto giudiziario da notificare.

Esistono numerose funzioni hash, quello che attenzioneremo è la funzione SHA-256, che si contraddistingue per essere una delle più sicure.


Come calcolarlo? sha256sum e Gtkhash
Anche se su internet si trovano numerose web app gratuite in grado di calcolarlo facilmente, il buon senso dovrebbe indurre a preservare con particolare attenzione atti e documenti contenenti informazioni personali e riservate, ragione per la quale sconsiglio nel più categorico dei modi l'ausilio di questi mezzi a distanza.

Ubuntu Linux integra già un'apposita utility da terminale, ovvero il comando sha256sum.
La sintassi è la seguente: 

$ sha256sum nomefile

Come si intravede dalla schermata, che riporto solo per gli amici più tradizionalisti, il file Atto Citazione.pdf ha generato come hash Sha-256 la stringa: 
3544f5998f0cee43b14f3fb5dd7d86984cafcbcf74afadb304cc15a2002d78c5





Fortunatamente esistono anche utility grafiche, che consiglio per la loro semplicità, come l'ottimo Gtkhash, che trovate già nei PPA di Ubuntu.

sudo apt-get install gtkhash


Gtkhash è in grado di calcolare gli hash contemporaneamente secondo più funzioni.
E' sufficiente selezionare il documento dalla finestra File e in meno di un batter d'occhio avrete tutte le funzioni pronte da copiaincollare.



Da come si evince, Gtkhash calcola anche secondo gli algoritmi MD5 e SHA-1. Quella che a noi interessa è l'ultima, ovvero il menzionato SHA-256 che dovrà essere indicato nella relata di notifica.
Come è possibile vedere la stringa è assolutamente identica a quella calcolata dal terminale.

Naturalmente è possibile calcolare l'hash dei file ricevuti al fine di controllare la rispondenza a quello indicato nella relata.

giovedì 12 febbraio 2015

Processo Civile Telematico: installazione e configurazione del redattore SL pct su Ubuntu e derivate



Nella scorsa guida abbiamo spiegato come predisporre una macchina Linux per il corretto funzionamento della firma digitale e dell'interfaccia al Polisweb nazionale.
In questa guida verrà illustrato come installare il software imbustatore (o redattore) SL pct.
La distro di riferimento è Ubuntu 14.04 LTS.

SL pct è un software gratuito, open source, multipiattaforma programmato in linguaggio Java.
Lo potete scaricare qui, ricordandovi di fare una piccola donazione nel caso il software fosse di vostro gradimento.


1. Installazione ambiente Java (JRE)

Il primo adempimento, preliminare a qualunque operazione, consiste nell'installazione dell'ambiente Java.
Nel caso in abbiate già provveduto passate direttamente al punto 2.
Se invece non siete sicuri, basterà scrivere nel terminale il seguente comando di verifica:
$ java -version 

Se la risposta è un messaggio di errore allora occorrà provvedere all'installazione.
In caso contrario la consolle restituirà un messaggio simile:





Prima di procedere con l'installazione occorre sapere che l'ambiente Java fornito nei PPA di Ubuntu è l'ambiente Open JDK. Si tratta di una versione non ufficiale e completamente open source, e differisce dal più celebre Oracle Java, pure questo open, soltanto dal fatto che in quest'ultimo sono implementate alcune tecnlogie proprietarie.
Nella maggior parte dei casi Open JDK risulta essere un ottimo sostituto di Oracle Java, tuttavia nel funzionamento di SL pct potrebbe causare problemi.
Per questo motivo è necessario preliminarmente disinstallare, se presente, Open JDK.

Oracle Java non è presente nei PPA per problemi di licenza.
Per la sua installazione occorrerà pertanto scaricare il pacchetto dal sito ufficiale. La versione è pacchettizzata soltanto in RPM. Se non disponete di una distro rpm based (es. Fedora) bisognerà scaricare e installare i binari.

Fortunatamente, alla poca lungimiranza di Oracle, hanno rimediato gli amici di WebUpd8, che ne hanno pacchettizzato in modo autonomo una versione in comodi deb.
Le istruzioni da seguire, che consistono nell'aggiungere il PPA appositamente creato si riassumono nei seguenti comandi da impartire nel terminale:
sudo add-apt-repository ppa:webupd8team/java
sudo apt-get update
sudo apt-get install oracle-java7-installer

Per il momento sconsiglio di passare a Java 8, in quanto potrebbero verificarsi dei problemi sia con SL pct che con il software di firma Aruba Sign (nel caso disponiate chiavette Aruba).




2. Installazione di SL pct

Dopo avere scaricato SL pct dal link indicato sopra (o dal sito ufficiale ww.slpct.it) si procede scompattando l'archivio. Per questa semplice operazione ometto qualsivoglia riferimento dalla riga di comando in quanto oramai la procedura può tranquillamente essere effettuata da modalità grafica.

Prima di avviare l'installazione bisogna dare i permessi di esecuzione all'installer principale, ragione per cui, dopo esseri portati all'interno della cartella diamo il seguente comando.

sudo chmod +x slpctinstall 

Procediamo pertanto con l'installazione avviando il classico comando:

sudo ./slpctinstall

A questo punto troverete SL pct è installato all'interno della cartella Home, mentre un collegamento verrà creato nel desktop, ma non abbiamo ancora finito.

SL pct dispone di una funzione di aggiornamento automatico alle nuove versioni.
E' bene precisare sin d'ora che per quanto riguarda Linux questa funzione è limitata solo agli alert. Ogni nuova versione dovrà pertanto essere scaricata e installata da zero secondo le modalità pocanzi esposte.


3. Installazione delle JCE (Java Cryptograpy Extension)

L'installazione di queste librerie supplementari è fondamentale in quanto, in loro assenza Java, e conseguentemente SL pct, non riusciranno a gestire le implementazioni di firma.

Al primo avvio di SL pc comparirà quindi un messaggio di avviso che ne segnala la mancanza.

Questo pacchetto va scaricato a parte dal sito ufficiale di Oracle Java (n.b. il presente link vale solo per Oracla Java 7).

L'interno dell'archivio è composto dalla cartella "UnlimitedJCEPolicy", che contiene i seguenti file:


Occorre copiare solo i file local_policy.jar e US_export_policy.jar all'interno del seguente percorso (sono necessari i permessi root):

/usr/lib/jvm/java-7-oracle/jre/lib/security

Vi raccomando di non copiare la cartella che li contiene ma direttamente i singoli file.



4. Abilitare SL pct alla firma digitale

Come ho scritto più sopra SL pct funziona principalmente da "imbustatore" del fascicolo e degli atti di parte. Questo pertanto presuppone che l'atto principale o la procura alle liti siano già state precedentemente firmate digitalmente (estensione .p7m) con i software di firma appositamente rilasciati dai vari gestori (Aruba Sign, Dike) prima di essere caricate nella busta.

Ciò è ovviamente possibile, tuttavia, al fine di facilitare le operazioni, si può abilitare SL pct alla firma degli atti (utilizzandolo a tutti gli effetti come software di firma), che così in questo caso non necessitano di essere preventivamente processati con gli appositi software, con un notevole risparmio di tempo.

Dando per scontato che abbiate già proceduto a scrivere il vostro atto giudiziario da depositare ed esservi muniti della procura ad litem, lì dove richiesto, avviate SL pct e cominciate a caricare i dati e impostare gli atti secondo il suo normale funzionamento.

Giunti al punto raffigurato nella schermata sottostante, premete il tasto Firma.




Si aprirà questa ulteriore schermata:




Presupponendo che abbiate regolarmente installato il driver del vostro lettore e il corretto middleware della vostra smart card (le operazioni sono già state spiegate nella precedente guida), si procede come segue:

Nel primo rigo, basterà inserire il path dove abbiamo installato il middleware. Nel caso specifico si tratta della libreria libbit4xpki.so, valida per la smartcard Incard.
Sarà necessario effettuare questa operazione solo la prima volta, per tutte quelle successive SL pct manterrà le impostazioni.

Il rigo slot può essere lasciato anche vuoto, posto che il programma riconoscerà automaticamente quello corretto.

Nel terzo rigo bisogna inserire la password della smartcard, e occorrerà farlo per ogni singola operazione, in quanto non è possibile salvarla.

A questo punto premendo il tasto "Firma", se tutto è andato bene, la spia del vostro dispositivo di firma comincerà a lampeggiare dando avvio alla procedura.

 

sabato 27 settembre 2014

Linux Day 2014






Sabato 25 Ottobre 2014




Quest'anno, per il terzo anno consecutivo, Alug sta organizzando, per il 25 ottobre, il Linux Day.

Il programma è il seguente:

  • "Reti wireless libere" a cura dei ragazzi di Ninux
  • No-privacy 2.0 talk sulla sicurezza informatica a cura di Corrado Liotta aka Corryl e di Roberto Anzalone aka Magma
  • Raspberry Pi "Il computer più piccolo al mondo" a cura di Salvo Rametta
  • "Linux e la firma digitale" a cura di Luca Caldarella
  • Shellshock a cura di Gianni Amato aka Guelfoweb

Partecipate in tanti!
Ingesso libero dalle ore 9 in poi

Viale Piersanti Mattarella presso il Centro giovanile. 

sabato 5 luglio 2014

Processo Civile Telematico su Linux (e low cost). Guida completa alla configurazione di un sistema Linux

* Ultimo aggiornamento 23 gennaio 2015


Il 30 giugno 2014 è ufficialmente entrato in vigore (D.L. 90/2014 Misure urgenti per la semplificazione e la trasparenza amministrativa e per l’efficienza degli uffici giudiziari) il Processo Civile Telematico. Si tratta di una delle più grandi riforme che la giustizia italiana abbia attraversato.

In questa guida non verra illustrato il funzionamento del Processo Civile Telematico in sé. Per questo esistono già numerose guide e i vademecum già predisposti dai locali consigli dell'ordine e dai distretti di corte d'appello ai quali vi rimando.

In questa guida ci si limiterà a illustrare il profilo prettamente tecnico per l'ottimale predisposizione di una macchina Linux (nel caso specifico Xubuntu 12.04 LTS).



Premessa

L'avvio del Processo Civile Telematico (d'ora in poi PCT) presuppone che il professionista si doti di un indirizzo di posta elettronica certificata (PEC), di una smartcard contenente la propria firma digitale, nonché di un dispositivo hardware per la lettura della stessa.
Sarà necessario anche un sofware c.d. "imbustatore" (impropriamente detto anche "redattore") e preferibilmente un client di posta elettronica.





1. Il sofware c.d. "imbustatore" e il client di posta elettronica

Per quanto attiene il software "imbustatore" sul mercato sono presenti numerose soluzioni, spesso compresive di vari applicativi gestionali. La maggior parte di essi è però sviluppata per Windows.

Per il momento, l'unico sofware imbustatore compatibile con Linux è SL pct.
SL pct è un sofware gratuito ma non open source, sviluppato per conto della Regione Toscana in linguaggio Java.

Il client di posta elettronica non è propriamente indispensabile, ma è caldamente consigliato, in quanto il PCT a pieno regime genererà una mole dati tale da saturare facilmente gli angusti spazi messi a disposizione nella maggior parte dei provider di PEC.
Ciò che mi sento di consigliare, in luogo del più rinomato Thunderbird, è Evolution, che a differenza del primo non risente di problemi nella gestione delle PEC, che supporta a pieno, e sopratutto è corredato di un'ottima funzione di backup integrato oltre una comoda agenda.
E' disponibile solo per Linux ed è sviluppato dalla Gnome Foundation, lo trovate comodamente nel PPA di Ubuntu e in quelli della stragrande maggioranza delle altre distro.




2. Scelta della smartcard

L'acquisto della firma digitale qualificata può essere comodamente effettuato da internet presso uno dei tanti soggetti autorizzati ad emetterle (Aruba firma digitale, Postecert, Infocert). Viene venduta in varie configurazioni (chiavetta, lettore da tavolo, firma remota) che si differenziano in genere per il prezzo e per qualche comodo accessorio.
La soluzione adottata nel caso specifico è stata l'acquisto della smart card sciolta da adoperare tramite lettore da tavolo.
Rapprenta la soluzione più economica e assieme riduce il rischio di smarrimento.
Tralascio pertanto ogni riferimento alle c.d. business key, ovvero le chiavette USB, anche perché allo stato attuale non sono disponibili i driver per Linux a 64 bit.

Nel caso specifico la scelta è caduta su Infocert, il cui sofware di firma (Dike) è rilasciato nativamente per Linux. Benchè ufficialmente supporti Ubuntu 10.04 e 12.04, faccio presente che risulta comunque compatibile anche sulla 14.04.

Anche Aruba smartcard si presta al nostro scopo, in quanto il software di firma Aruba Sign gira su tutti i sistemi operativi, compreso Linux 64 bit. Si tratta di un sofware scritto in Java, e perfettamente funzionante con le OpenJDK.

Infine, recentemente affacciatasi sul mercato Linux, è anche Postecert, la firma digitale di Poste Italiane. Anche il software di firma di questa, Firma OK, adesso viene rilasciato anche per Linux e Mac.
  

3. Scelta del lettore smartcard

La scelta del lettore smartcard, fortunatamente non presenta particolari problemi, in quanto si tratta di dispositivi muniti di tecnologia standardizzata.
Nel caso specifico è stato scelto il lettore Gemalto Gem PC USB, peraltro in uso presso le cancellerie di numerosi tribunali, e che tra le altre risulta anche essere tra quelli più a buon mercato.
Lo trovate per pochi Euro on line presso i siti specializzati, su Amazon o nei negozi di forniture per ufficio, ed è compatibile anche con la Carta Nazionale dei Servizi (tessera sanitaria) e con la Carta Regionale dei Servizi della Regione Lombardia.


4. Installazione lettore smart card Gemalto Gem PC USB

I driver di questo lettore sono open source e sopratutto sono comodamente disponibili nei PPA di Ubuntu oltre che in quelli di numerose distro.
Per coloro che preferiscono ancora l'approccio tradizionale da terminale i comandi sono i seguenti:

apt-get install libccid

apt-get install pcscd


E' tuttavia consigliabile installare anche i seguenti pacchetti:

apt-get install libusb-dev libusb++-0.1-4c2

apt-get install libpcsclite1

apt-get install libpcsclite-dev


Pacchetti facoltativi che ci torneranno utili solo per le verifiche sono:

apt-get install libpcsc-perl

apt-get install pcsc-tools


A questo punto la spia del lettore dovrebbe iniziare a lampeggiare, segno che tutto è andato bene. In ogni caso è bene controllare tramite il solito comando lsusb che il sistema lo abbia riconosciuto.


5. Il sofware di firma

Il processo firma è gestito da un apposito software che dovete installare a parte.
Sfortunatamente non esistono ancora soluzioni open, in quanto il progetto Open Signature sembrerebbe essere abbandonato da anni, e perciò ci si deve affidare a soluzioni prevalentemente proprietarie.

Come già specificato in premessa Dike è il sofware sviluppato per conto di Infocert per le sue smartcard.
E' composto in due parti, Dike e Dike-Util (che dovrete utilizzare per la prima attivazione della smartcard. Il software è già rilasciato nativamente per Ubuntu in comodi pacchetti deb, e benché non specificato, funziona egregiamente anche su Ubuntu 14.04 LTS.

Aruba Sign è il sofware sviluppato da Aruba. E' in grado di leggere anche le smart card rilasciate da Infocert, ragione per la quale consiglio comunque di installarlo nel caso in cui Dike dovesse dare problemi. E' sviluppato in Java.

File Protector è il sofware firma sviluppato da Actalis per conto di Infocamere. Funziona anche con smart card diverse ed è distribuito nei comodi pacchetti deb.
Apache Open Office/Libre Office, hanno integrato, a partire dalle loro ultime versioni (v. 4.0) la possibilità di firmare digitalmente i documenti senza necessità di adoperare sofware esterno. Vi rimando, a tal proposito, alle rispettive guide invitandovi all'aggiornamento qualora non lo aveste ancora effettuato.



6. Accesso al Polisweb PCT: installazione del middleware della smart card

Per potere operare il riconoscimento web (e quindi Polisweb) con la nostra smart card sarà necessario installare anche l'apposito middleware.

Premetto sin d'ora che ogni smartcard ha il proprio middleware, che può differire non solo in base al produttore (es. Athena, InCard, Oberthur) ma anche in base al numero di serie della stessa.
Alcuni middleware sono disponibili nella sezione download di Aruba, e sono funzionanti anche per le smart card rilasciate da terzi

Potete conosce con esattezza il tipo di scheda accedendo a Dike-Util (fornito al corredo di DikeL) alla voce "verifica smart card".
Vi rimando al sito del vostro gestore per il download del middleware esatto.

Ricordandovi di operare con i permessi di root, dovrete semplicemente copiare il file middleware (riconoscibile per l'estensione .so) nella cartella

/usr/lib

o a seconda della distribuzione

/usr/local/lib



7. Accesso al Polisweb PCT: configurazione browser Firefox

L'accesso ai siti Polisweb presuppone l'identificazione c.d. forte tramite smartcard. A tale fine è necessario che il browser sia messo in grado di interfacciarsi con la smartcard.


Per quanto riguarda Firefox, sul sito di Infocert è presente una guida che, benché valida, si riferisce alle vecchie versioni della serie 3.x.

Nel caso specifico è utilizzato Firefox v. 30.0, ma la guida è valida anche per le versioni successive.
Non necessita invece di specifica configurazione Chrome.



Passo 1: installazione certificato

Preliminaremente dovete procurarvi il certificato rilasciato dal gestore della vostra smart card.

Nel caso di smart card Infocert i certificati (.cert) sono scaricabili qui.

Andiamo su Preferenze, tabella Avanzate, scheda Certificati.


Premiamo il tasto Mostra Certificati (linguetta Autorità) e, dopo avere scompattato l'archivio contenente i certificati, selezioniamoli col tasto Importa.

Se tutto è andato bene il certificato apparirà nella lista in ordine alfabetico.



Passo 2: configurazione middleware

Si tratta del passaggio più importante.
Dalla medesima schermata, anziché premere Mostra Certificati, premiamo Dispositivi di Sicurezza.
Premiamo sulla destra il tasto Carica:


Potete mettere il nome modulo che più vi aggrada, mentre occorrerà selezionare correttamente il percorso del middleware precedentemente installato all'interno di /usr/lib/ (o /usr/local/lib).
Nella successiva schermata spuntate tutte le caselle libere (in numero di tre).

Se al termine di questa operazione vi verrà chiesto di inserire la password ella vostra smart card vuol dire che tutto è andato a buon fine.


A questo punto il dispositivo è perfettamente configurato ed è possibile autenticarsi in rete, avendo cura di tenere la smart card inserita nel lettore.

giovedì 22 maggio 2014

Programmare senza scrivere codice, ovvero Pwct

Pwct è un'applicazione che permette di creare programmi senza scrivere (o quasi) una riga di codice.

Tempo fa mi serviva creare velocemente una applicazioncina da usare in ufficio senza però sbattermi troppo a scrivere codice per creare finestre, bottoni, eventi ecc. Mi sono imbattuto casualmente in Pwct, programma per windows, ma che può essere utilizzato anche su linux tramite wine.

Pwct su Xubuntu 14.04
L'installazione e l'utilizzo del programma non hanno dato problemi o malfunzionamenti.
Facciamo un piccolo esempio di utilizzo del programma creando una piccola finestra con un bottone di chiusura, usando Python. Utilizzerò un linguaggio il più semplice possibile affinchè chiunque, anche chi ne è completamente a digiuno, possa provare il piacere della programmazione.
Lanciando il PWCT, questo si aprirà la finesta sotto dove si può notare un codice di esempio. Nella finesta a tendina in alto scegliamo l'ultima voce "PythonPWCT".


Creiamo un  nuovo progetto cliccando sul bottone in alto a sinistra sotto "File".
Si aprirà un'altra finestra che vi chiederà di scegliere quale template volete utilizzare (uno ce ne!!!)


Clicchiamo su "create new file using the selected template" e si aprirà la seguente pagina in cui dovete scegliere il posto in cui salvare la cartella del progetto e il nome del progetto stesso. Qui abbiamo deciso di crearla su scrivania chiamndo la cartella "test pwct" e il file "test"


Si aprirà questa una finestra simile alla prima ma completamente vuota, questo è lo scheletro del nostro primo programma.

Cliccando sull'icona della colonna a sinistra (quella con le due freccine verde e blu) inizieremo ad aggiungere componenti al nostro progetto



Evidenziando la voce windows, iniziamo a creare la nostra prima finestra impostandone anche le caratteristiche


Come vediamo in questa maschera possiamo impostare la dimensione della finestra,il titolo, il colore, il nome che di default è master (lasciamolo così), clicchiamo su ok e la nostra finestra è stata creata. Andiamo a creare i nostri oggetti, cliccando sull'icona qui sotto evidenziata.


Questo è quello che viene creato, aggiungiamo i controlli cliccando su "Add Control":


 Aggiungiamo il nostro bottone di chiusura:

 
E qua sotto impostiamo le proprietà del bottone:


Possiamo notare che possiamo impostare, come per la finestra, dimensione,  nome, colore e sopratutto quale sarà la funzione di questo bottone. In questo caso nell'ultimo box impostiamo il comando master.quit (chiudi l'oggetto master, cioè la nostra finestra) non scordando di attivare questo comando mettendo la spunta nella casella "command" che ho evidenziato. Finito!
Testiamo il nostro primo programmino cliccando sull'icona a forma di punto esclamativo.




Questo è quello che abbiamo fatto, io ho aggiunto una label con il testo "Avola linux users group". 



Se cliccate sul tasto "Chiudi", vedremo la nostra finestra sparire. Abbiamo creato la nostra prima applicazione. Buon studio. :)






sabato 18 gennaio 2014

Open Source nella Pubblica Amministrazione, i lavori proseguono (a rilento)



Ci eravano lasciati con il Decreto Sviluppo (l. 134/2012 art. 22) con il quale per la prima l'open source trovava il meritato riconoscimento nel Codice dell'Amministrazione Digitale.
Finalizzato all'attuazione dell'agognata spending review si stabiliva che:

"Le pubbliche amministrazioni acquisiscono programmi informatici o parti di essi nel rispetto dei princìpi di economicità e di efficienza, tutela degli investimenti, riuso e neutralità tecnologica, a seguito di una valutazione comparativa di tipo tecnico ed economico tra le seguenti soluzioni disponibili sul mercato:
a) software sviluppato per conto della pubblica amministrazione;
b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
c) software libero o a codice sorgente aperto;
d) software fruibile in modalità cloud computing;
e) software di tipo proprietario mediante ricorso a licenza d'uso;
f) software combinazione delle precedenti soluzioni."
art. 68 c. 1 Cod. Amministrazione Digitale


In parole semplici, la norma impone che prima di procedere all'acquisto di nuovi applicativi, la Pubblica Amministrazione  avrebbe dovuto preliminarmente valutare l'esistenza di soluzioni a buon mercato, ivi compreso il ricorso al software libero.
Dopo l'iniziale entusiasmo da parte della comunità open source, sappiamo che in realtà poco o nulla è stato fatto in tal senso.

Dopo circa un anno di lavori e di confronto con la comunità informatica, nella quale erano presenti, tra gli altri, rappresentanze di The Document Foundation e Free Software Foundation Europe, l'Agenzia per l'Italia Digitale con l'emanazione della Circolare n. 63/2013, ha fornito un importante strumento operativo attraverso una dettagliata interpretazione normativa  la soluzione a casi pratici.

La Circolare, che si basa pesantemente sull'esperienza di Monaco di Baviera, fa propri, applicandoli alla PA, numerosi concetti attinti direttamente dal patrimonio della comunità open source.
Si parla così di libero scambio di informazioni al fine di favorire l'interoperabilità tra le varie pubbliche amministrazioni, della prevenzione del c.d. lock-in (fenomeno che si verifica quando l'utente si trova "intrappolato" in un sistema di soluzioni, senza la possibilità di passare ad altre benché più convenienti, es. i vecchi formati di MS Office), ma anche di una maggiore consapevolezza nelle future soluzioni attraverso l'ingresso di competenze informatiche specifiche, della cui carenza notoriamente risente la PA.
Un chiaro riferimento è anche al "riuso" del software da una PA all'altra, che dovrebbe essere favorito attraverso l'istituzione e il potenziamento di apposite piattaforme di scambio e dell'adozione di formati standard e aperti.

La Circolare tuttavia non impone, come invece potrebbe apparire a una lettura superficiale, il radicale passaggio all'open source.
Anzitutto, la scelta sulle grandi infrastrutture e sul tipo di hardware, non rientrano nell'ambito applicativo della norma. Può così accadere che l'hardware non supportato o mal supportato da una soluzione open, sia di per sé motivo sufficiente per escluderla dal campo delle scelte. Le scelte politiche, insomma, non sono risultano essere mai vincolate.
Rimangono fuori le soluzioni basate sul cloud e sulla virtualizzazione.
La norma entra invece in gioco quando la PA o vuole estendere un proprio servizio a un numero maggiore di utenza, oppure deve passare ad una versione successiva del software acquistando una nuova licenza. In tali casi scatterebbe l'obbligo di valutare comparativamente l'esistenza di soluzioni open source o di riutilizzare altro sofware già esistente e la cui disponibilità può essere ottenuta senza oneri aggiuntivi.

Oggetto della comparazione, continua la Circolare, deve essere non soltanto la libera disponibilità di un software, ma anche elementi accessori, quali il costo di tempo e di risorse per la migrazione (nella sua totalità) e l'eventuale formazione del personale, oltre ovviamente la capacità di essere integralmente rispondenti alle esigenze istituzionali.
Così, non sempre la scelta potrà cadere su una soluzione open, per quanto più performante, in quanto contingenze di vario tipo finirebbero col renderla comunque più svantaggiosa.

A conclusione di questa breve illustrazione riteniamo che la Circolare sia giunta a soluzioni tutto sommato accettabili se consideriamo la posizione di partenza. L'eccessiva durata della procedura, quasi 1 anno e mezzo dalla epocale scelta di abbracciare l'open source, se da un lato ha finito col produrre risultati a tratti fin troppo ovvi, dall'altro si è rivelata inutile per tutte quelle numerose amministrazioni locali (la regione Umbria ultima in ordine di tempo) che già da tempo hanno adottato soluzioni free per l'espletamento dei loro compiuti istituzionali con notevoli risvolti sul piano della finanza pubblica.
Ci auguriamo, pertanto, che prima ancora del sotfware venga un ancor più auspicato cambio di mentalità.