EU digital strategy: A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography

Gli Stati membri dell'UE, supportati dalla Commissione, hanno pubblicato una tabella di marcia e una tempistica per iniziare a utilizzare una forma più complessa di sicurezza informatica, la cosiddetta crittografia post-quantistica (PQC).

Il documento fornisce una roadmap coordinata per la transizione verso la crittografia post-quantistica (PQC) nell’Unione Europea, con raccomandazioni rivolte agli Stati Membri per garantire una migrazione sincronizzata e sicura dei sistemi crittografici attuali, minacciati dall’avvento dei computer quantistici.

La crittografia attuale, basata su algoritmi come RSA e quelli a logaritmo discreto, sarà vulnerabile ai futuri computer quantistici. Questo rappresenta un rischio per la riservatezza e l’autenticità dei dati digitali, soprattutto per informazioni che devono rimanere confidenziali a lungo termine (“harvest now, decrypt later”). La transizione a soluzioni PQC è quindi urgente e strategica per la sicurezza digitale europea.

Timeline raccomandata

• Entro il 2026: Ogni Stato Membro deve aver avviato una strategia nazionale per la transizione a PQC, coinvolgendo stakeholder, mappando le dipendenze crittografiche e avviando programmi di sensibilizzazione e analisi del rischio quantistico.
• Entro il 2030: Completamento della transizione per i casi d’uso ad alto rischio e abilitazione di aggiornamenti software/firmware quantum-safe di default.

Entro il 2035: Completamento della transizione per i casi d’uso a rischio medio e, per quanto possibile, basso. 

Passi fondamentali

• First Steps: Identificare stakeholder, gestire asset crittografici, creare mappe di dipendenza, analizzare il rischio quantistico, coinvolgere la supply chain, avviare programmi di comunicazione e sviluppare un piano nazionale.
• Next Steps: Supportare l’agilità crittografica, adattare gli schemi di certificazione, evolvere le regole nazionali, promuovere formazione e finanziamenti, collaborare a livello europeo e internazionale, implementare casi pilota e contribuire a centri di test. 

L’Unione Europea supporta la transizione tramite raccomandazioni, programmi di finanziamento, standardizzazione e coordinamento tra Stati Membri, industria e accademia. Sono citati riferimenti normativi come la Direttiva NIS2, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).

La roadmap sottolinea la necessità di agire subito, pianificare la migrazione in modo strutturato e collaborare a livello nazionale ed europeo per garantire la resilienza e la sicurezza delle infrastrutture digitali contro la minaccia quantistica. 

Il sito dedicato alla roadmap è raggiungibile al seguente link.

 Il Sigillo Elettronico Qualificato è uno strumento, introdotto in Italia dal Regolamento eIDAS (Regolamento UE n°910/2014), che serve a garantire l'origine e l'integrità dei dati a cui è associato. È l'equivalente di una firma elettronica qualificata, ma si differenzia da essa per due aspetti principali:

• Il sigillo si riferisce a una persona giuridica, mentre la firma a una persona fisica. Da un sigillo è possibile risalire con certezza a un'entità giuridica (tramite denominazione, partita IVA o codice fiscale), ma non alla persona fisica che lo ha usato.
• Il sigillo garantisce l'origine e l'integrità di un documento digitale, mentre la firma garantisce l'identità del firmatario.

Secondo il Regolamento eIDAS, esistono due tipi di sigillo elettronico:            

• il Sigillo Elettronico Avanzato (AdESeal): un sigillo elettronico è tale quando soddisfa i requisiti previsti dall’articolo 36, ovvero è:
• connesso unicamente al creatore del sigillo;
• idoneo a identificare il creatore del sigillo;
• creato mediante dati per la creazione di un sigillo elettronico che il creatore del sigillo elettronico può, con un elevato livello di sicurezza, usare sotto il proprio controllo per creare sigilli elettronici;
• collegato ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica dei suddetti dati;
• il Sigillo Elettronico Qualificato (QeSeal): è un sigillo elettronico avanzato creato tramite un dispositivo apposito basato su un certificato qualificato per sigilli elettronici, il quale deve soddisfare i requisiti illustrati nell’allegato III

Il Sigillo Elettronico Qualificato è un tipo di Sigillo Elettronico Avanzato (AdESeal) la cui caratteristica principale di garantire origine e integrità conferisce al sigillo funzioni probatorie. Poiché non è legato a una persona fisica, può essere utilizzato da più soggetti all'interno della stessa azienda o organizzazione.

Gli scopi per cui può essere usato sono diversi:

• Dimostrare la proprietà di documenti aziendali.
• Tutelare opere creative.
• Autenticare beni digitali aziendali come i software.
• Tracciare file log.
• Gestire cartelle cliniche e referti.
• Fatturazione elettronica, visure camerali e ricevute PEC.

Per ottenere un sigillo elettronico, è necessario rivolgersi a una Certification Authority eIDAS o a un prestatore di servizi fiduciari, riconosciuto da AgID.

Firma elettronica avanzata (FEA): definizione e caratteristiche

 La firma elettronica avanzata (FEA) è una tipologia di firma elettronica prevista dalla normativa italiana ed europea, che consente di identificare in modo certo il firmatario di un documento digitale e di garantire un legame univoco tra la firma e il documento stesso. La FEA si distingue dalla firma elettronica semplice per i maggiori requisiti di sicurezza e affidabilità, ma non raggiunge il livello della firma elettronica qualificata o della firma digitale.

Requisiti della FEA

Secondo il Codice dell’Amministrazione Digitale (D.lgs. 82/2005) e il Regolamento eIDAS (Regolamento UE n. 910/2014), una firma elettronica avanzata deve garantire:

·         Identificazione del firmatario del documento.

·         Controllo esclusivo del firmatario sul sistema di generazione della firma.

·         Connessione univoca tra la firma e il firmatario.

·         Legame indissolubile tra la firma e il documento, che consenta di rilevare eventuali modifiche successive alla sottoscrizione.

·         Possibilità di verifica dell’integrità del documento dopo la firma.

Valore legale e ambiti di utilizzo

Un documento firmato con FEA ha valore legale pari alla scrittura privata tra le parti coinvolte e soddisfa il requisito della forma scritta, tranne che per gli atti e contratti aventi ad oggetto beni immobili o per atti che richiedono la firma di un pubblico ufficiale. In questi casi è necessaria la firma digitale o la firma elettronica qualificata.

La FEA è spesso utilizzata in ambito bancario, assicurativo, nella Pubblica Amministrazione e nei servizi online che richiedono la sottoscrizione di documenti digitali con un livello di sicurezza superiore rispetto alla firma semplice.

Esempi e modalità di utilizzo

·         Firma grafometrica: apposizione della firma su tablet con rilevazione di dati biometrici come pressione, velocità e accelerazione della firma.

·         Carta d’Identità Elettronica (CIE) e Tessera Sanitaria-CNS: possono essere utilizzate come dispositivi di FEA per firmare documenti digitali verso la Pubblica Amministrazione.

·         Software e piattaforme online: servizi come Yousign consentono la FEA tramite caricamento del documento d’identità, verifica dell’identità e inserimento di un codice OTP ricevuto via SMS.

Vantaggi della FEA

·         Semplificazione dei processi amministrativi e riduzione della necessità di archiviazione cartacea.

·         Firma a distanza di documenti in modo sicuro e tracciabile.

·         Conformità normativa secondo le regole tecniche AgID e il regolamento eIDAS.

Limiti della FEA

·         Validità limitata: la FEA ha valore legale solo tra le parti che hanno accettato la soluzione di firma e non può essere utilizzata per tutti gli atti giuridici, in particolare quelli immobiliari e quelli che richiedono la firma di un pubblico ufficiale.

Tabella comparativa delle firme elettroniche

Tipologia	Requisiti di sicurezza	Valore legale	Esempi di utilizzo
Firma elettronica semplice	Basso	Valutato caso per caso	PIN, password, e-mail
Firma elettronica avanzata	Medio	Scrittura privata tra le parti	Firma grafometrica, CIE, CNS
Firma elettronica qualificata/firma digitale	Alto	Scrittura privata, validità universale	Smart card, token, firma digitale

Sintesi

La firma elettronica avanzata è una soluzione intermedia tra la firma elettronica semplice e quella qualificata/digitale, che offre un buon livello di sicurezza e valore legale per la sottoscrizione di documenti digitali, con alcune limitazioni d’uso stabilite dalla normativa.

Firma qualificata: definizione e caratteristiche

La firma elettronica qualificata (FEQ) è una particolare tipologia di firma elettronica che garantisce il massimo livello di sicurezza, autenticità e valore legale, equiparandosi alla firma autografa tradizionale.

Definizione

È una firma elettronica avanzata che:

• Si basa su un certificato qualificato emesso da un prestatore di servizi fiduciari qualificato (QTSP) riconosciuto.
• Viene creata tramite un dispositivo sicuro di creazione della firma elettronica qualificata (QSCD), come smart card o token USB, che assicura il controllo esclusivo della chiave privata da parte del firmatario.
• Garantisce l’identificazione univoca del firmatario e la connessione esclusiva tra firma e documento.
• Rileva e invalida ogni modifica successiva ai dati firmati, assicurando integrità e non ripudio.

Caratteristiche principali

• Valore legale pieno e riconosciuto in tutta l’UE secondo il regolamento eIDAS, con efficacia equivalente alla firma autografa.
• Verifica dell’identità del firmatario tramite procedure rigorose, anche in presenza (di persona o video).
• Sicurezza crittografica elevata, basata su chiavi asimmetriche e dispositivi hardware/software certificati.
• Inversione dell’onere della prova: in caso di contestazione, chi nega la validità deve dimostrare la falsità della firma.
• Uso in ambiti legali e contrattuali per documenti ad alto valore, come contratti, atti pubblici, documenti fiscali, gare d’appalto.

---

In sintesi, la firma elettronica qualificata è lo standard più sicuro e affidabile per sottoscrivere digitalmente documenti, garantendo autenticità, integrità, non ripudio e pieno valore legale riconosciuto a livello europeo.

La differenza principale tra firma elettronica qualificata (FEQ) e firma digitale riguarda l’ambito normativo e tecnologico, pur essendo strettamente collegate:

• La firma elettronica qualificata è un concetto giuridico definito a livello europeo dal regolamento eIDAS. È una firma elettronica avanzata che:
• È basata su un certificato qualificato rilasciato da un prestatore di servizi fiduciari qualificato (QTSP).
• Viene creata tramite un dispositivo sicuro di creazione della firma (smart card, token USB, firma remota).
• Garantisce l’identificazione univoca del firmatario, l’integrità del documento e ha pieno valore legale equivalente alla firma autografa.
• Prevede l’inversione dell’onere della prova in caso di contestazione (chi nega la firma deve dimostrare la falsità).
• La firma digitale, invece, è un termine utilizzato principalmente in Italia (secondo il Codice dell’Amministrazione Digitale - CAD) e rappresenta un particolare tipo di firma elettronica qualificata.
• Si basa su un sistema di crittografia a chiavi asimmetriche (una chiave privata per firmare e una pubblica per verificare).
• È la realizzazione tecnologica più diffusa della firma elettronica qualificata in Italia, utilizzata soprattutto per documenti ufficiali e rapporti con la Pubblica Amministrazione.
• Ha lo stesso valore legale della firma elettronica qualificata e della firma autografa.

---

Sintesi delle differenze

Aspetto	Firma Elettronica Qualificata (FEQ)	Firma Digitale
Definizione	Concetto giuridico europeo (eIDAS)	Tipo specifico di FEQ previsto in Italia (CAD)
Tecnologia	Basata su certificato qualificato e dispositivo sicuro	Basata su crittografia a chiavi asimmetriche
Valore legale	Pieno valore legale, equivalente alla firma autografa	Stesso valore legale della FEQ e firma autografa
Ambito di utilizzo	Tutta l’UE	Principalmente in Italia, PA e documenti ufficiali
Dispositivo	Smart card, token USB, firma remota	Smart card, token USB, firma remota
Normativa	Regolamento eIDAS	Codice dell’Amministrazione Digitale (CAD)

---

In conclusione, la firma digitale è una particolare forma di firma elettronica qualificata con specifiche tecnologie e normative italiane, mentre la firma elettronica qualificata è il concetto più ampio e normato a livello europeo che garantisce piena validità legale e sicurezza.

Metodologia SWOT

 

La Metodologia SWOT è uno strumento di analisi strategica ampiamente utilizzato in ambito aziendale e organizzativo, ma applicabile anche a livello personale o di progetto. Il suo nome è un acronimo di quattro elementi chiave:

• Strengths (Punti di Forza)
• Weaknesses (Punti di Debolezza)
• Opportunities (Opportunità)
• Threats (Minacce)

L'analisi SWOT serve a identificare e valutare questi quattro aspetti per un'organizzazione, un progetto, un prodotto o anche una persona, al fine di sviluppare una strategia efficace che capitalizzi sui punti di forza e le opportunità, minimizzi i punti di debolezza e si difenda dalle minacce.

---

Componenti dell'analisi SWOT:

Le quattro categorie si dividono in due gruppi principali:

1. Fattori Interni (Internals): Riguardano ciò che è sotto il controllo dell'organizzazione o dell'individuo.
• Strengths (Punti di Forza):
• Caratteristiche interne positive che conferiscono un vantaggio competitivo.
• Cosa si fa bene? Quali risorse uniche si possiedono? Quali sono i vantaggi rispetto ai concorrenti?
• Esempi: Brand forte, personale altamente qualificato, brevetti, processi efficienti, ottima reputazione.
• Weaknesses (Punti di Debolezza):
• Caratteristiche interne negative che ostacolano il raggiungimento degli obiettivi.
• Cosa si potrebbe migliorare? Dove si è meno performanti? Quali sono le risorse o le capacità mancanti?
• Esempi: Scarsa liquidità, mancanza di esperienza in un settore, tecnologia obsoleta, elevato tasso di turnover del personale.
2. Fattori Esterni (Externals): Riguardano ciò che si trova nell'ambiente esterno all'organizzazione e su cui non si ha controllo diretto.
• Opportunities (Opportunità):
• Fattori esterni favorevoli che possono essere sfruttati per ottenere un vantaggio.
• Quali trend di mercato possono essere utili? Ci sono cambiamenti normativi favorevoli? Ci sono nuovi segmenti di mercato da esplorare?
• Esempi: Nuove tecnologie emergenti, crescita economica del settore, calo dei prezzi delle materie prime, cambiamenti nelle preferenze dei consumatori.
• Threats (Minacce):
• Fattori esterni sfavorevoli che possono mettere a rischio l'organizzazione o il progetto.
• Quali sono i principali concorrenti? Ci sono nuove normative restrittive? Quali sono i rischi economici o politici?
• Esempi: Nuovi concorrenti aggressivi, recessione economica, normative ambientali più stringenti, disastri naturali, cambiamenti rapidi nel mercato.

 

ANALISI SWOT	Vantaggi e opportunità	Rischi e pericoli
	Caratteristiche utili al conseguimento degli obiettivi	Caratteristiche dannose al conseguimento degli obiettivi
Origine interna	Strengts – punti di forza   S	Weaknesses – punti di debolezza   W
Elementi costitutivi dell'organizzazione da analizzare
Origine esterna	Opportunities – Opportunità   O	Threats – Minacce   T
Elementi presenti nel contesto dell'organizzazione da analizzare

 

---

Come si conduce un'analisi SWOT:

1. Definire l'obiettivo: Prima di iniziare, è fondamentale avere chiaro cosa si sta analizzando (un'azienda, un nuovo prodotto, una strategia di marketing, ecc.).
2. Raccogliere informazioni: Raccogliere dati interni (bilanci, rapporti di vendita, feedback dei dipendenti) ed esterni (analisi di mercato, report di settore, notizie economiche, analisi della concorrenza).
3. Brainstorming: Per ciascuna delle quattro categorie (S, W, O, T), elencare il maggior numero possibile di fattori rilevanti. È utile coinvolgere persone con diverse prospettive.
4. Valutazione e Prioritizzazione: Non tutti i fattori sono ugualmente importanti. È necessario valutare e dare priorità ai fattori più significativi per l'obiettivo definito.
5. Analisi e Strategia: Questa è la fase più critica. L'obiettivo non è solo elencare, ma usare le informazioni per formulare strategie. Si possono incrociare i quadranti per identificare:
• SO (Strengths-Opportunities): Come usare i punti di forza per sfruttare le opportunità. (Strategie aggressive)
• WO (Weaknesses-Opportunities): Come superare i punti di debolezza sfruttando le opportunità. (Strategie di recupero)
• ST (Strengths-Threats): Come usare i punti di forza per mitigare le minacce. (Strategie difensive)
• WT (Weaknesses-Threats): Come minimizzare i punti di debolezza ed evitare le minacce. (Strategie di sopravvivenza o ritiro)

---

Vantaggi dell'analisi SWOT:

• Semplicità: Facile da capire e implementare.
• Visione d'insieme: Fornisce una panoramica completa dei fattori interni ed esterni.
• Base per la strategia: Aiuta a identificare le aree su cui concentrarsi per lo sviluppo strategico.
• Flessibilità: Applicabile a diversi contesti e livelli di analisi.
• Stimola la riflessione: Incoraggia il pensiero critico e la discussione interna.

---

Limiti dell'analisi SWOT:

• Soggettività: La sua efficacia dipende dalla qualità e oggettività delle informazioni e delle persone coinvolte.
• Elenco non esaustivo: Può portare a una semplice lista senza un'azione concreta se non seguita da una fase di strategia.
• Mancanza di priorità implicita: Non indica automaticamente quali fattori sono più importanti di altri.
• Visione statica: Fotografa una situazione in un dato momento e potrebbe non riflettere cambiamenti rapidi nell'ambiente.

Nonostante i suoi limiti, l'analisi SWOT rimane uno strumento fondamentale per l'analisi preliminare e la pianificazione strategica, fungendo da ottimo punto di partenza per discussioni più approfondite e per la definizione di azioni concrete.

Cancellazione dati personali dai sistemi della PA

Secondo il GDPR è possibile che una persona fisica richieda la cancellazione dei propri dati dalle banche dati usate dalla PA nello svolgimento di propri compiti istituzionali?

Sì, in linea di principio, una persona fisica può richiedere la cancellazione dei propri dati dalle banche dati usate dalla Pubblica Amministrazione (PA). Tuttavia, il Regolamento Generale sulla Protezione dei Dati (GDPR) prevede delle eccezioni al diritto alla cancellazione (o "diritto all'oblio"), in particolare quando il trattamento dei dati è necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri.

Vediamo i punti chiave:

• Diritto alla cancellazione (Art. 17 GDPR): L'individuo ha il diritto di ottenere la cancellazione dei propri dati personali in diverse circostanze, ad esempio quando i dati non sono più necessari per le finalità per cui sono stati raccolti, quando l'interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento, o quando i dati sono stati trattati illecitamente.
• Eccezioni per la Pubblica Amministrazione: Il GDPR stabilisce chiaramente che il diritto alla cancellazione non si applica nella misura in cui il trattamento sia necessario per:
• l'adempimento di un obbligo legale che richieda il trattamento in base al diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento (es. leggi che impongono alla PA di conservare determinati dati per un certo periodo);
• l'esecuzione di un compito svolto nel pubblico interesse o nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Questo è il caso più comune per la PA, che opera per finalità istituzionali e nell'interesse della collettività.
• motivi di interesse pubblico nel settore della sanità pubblica;
• fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, nella misura in cui il diritto alla cancellazione rischi di rendere impossibile o di pregiudicare gravemente il conseguimento ¹di tali obiettivi;
• l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

In sintesi:

Se la PA tratta i dati di una persona fisica per l'adempimento di un compito istituzionale o per un obbligo legale, è probabile che la richiesta di cancellazione venga rifiutata, poiché prevale l'interesse pubblico o la necessità di rispettare la legge.

Tuttavia, l'individuo ha sempre il diritto di presentare la richiesta di cancellazione. La PA dovrà valutare la richiesta e, in caso di rifiuto, fornire una motivazione chiara e basata sulle eccezioni previste dal GDPR. Se l'interessato non è soddisfatto della risposta, può presentare un reclamo all'Autorità Garante per la Protezione dei Dati Personali.

Linee guida AGID e accessibilità

 ACCESSIBILITA’

La legge 4 del 2004, nota anche come Legge Stanca, è intitolata "Disposizioni per favorire l'accesso dei soggetti disabili agli strumenti informatici". Il suo obiettivo principale è garantire l'accessibilità digitale per tutti, inclusi coloro che hanno disabilità, assicurando che possano accedere alle informazioni e ai servizi erogati tramite strumenti informatici e telematici. 

Ecco alcuni punti chiave della legge:

• Accessibilità:

La legge stabilisce il diritto di ogni persona ad accedere a tutte le fonti di informazione e ai relativi servizi, compresi quelli erogati tramite strumenti informatici. 

• Soggetti coinvolti:

La legge si applica alle pubbliche amministrazioni e ai soggetti che forniscono servizi informatici e telematici. 

• Obblighi:

I soggetti interessati sono tenuti ad adottare misure per garantire l'accessibilità, inclusi requisiti tecnici e linee guida specifiche. 

• Tecnologie assistive:

La legge promuove l'uso di tecnologie assistive per superare le barriere all'accesso per le persone con disabilità. 

• Formazione:

Sono previste attività formative per promuovere la conoscenza e l'applicazione dei principi di accessibilità. 

• Responsabilità:

La legge definisce le responsabilità dei diversi soggetti coinvolti nell'attuazione delle disposizioni sull'accessibilità. 

• Valutazione e verifica:

Sono previste procedure per la valutazione e la verifica dell'accessibilità dei siti web e delle applicazioni. 

In sintesi, la Legge 4 del 2004 è un importante strumento per promuovere l'inclusione digitale e garantire che tutti, indipendentemente dalle proprie capacità, possano partecipare pienamente alla società dell'informazione. 

Art. 9 (Responsabilita)
1. L'inosservanza delle disposizioni della presente legge 

((da parte dei soggetti di cui all'articolo 3, comma 1))

 è rilevante ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili e comporta responsabilità dirigenziale e responsabilità disciplinare ai sensi degli articoli 21 e 55 del decreto legislativo 30 marzo 2001, n. 165, ferme restando le eventuali responsabilità penali e civili previste dalle norme vigenti.

((1-bis. L'inosservanza delle disposizioni della presente legge da parte dei soggetti di cui all'articolo 3, comma 1-bis, è accertata e sanzionata dall'AgID, fermo restando il diritto del soggetto discriminato di agire ai sensi della legge 1° marzo 2006, n. 67. Si osservano, in quanto applicabili, le disposizioni contenute nel capo I, sezioni I e II, della legge 24 novembre 1981, n. 689. Se a seguito dell'istruttoria l'AgID ravvisa violazioni della presente legge, fissa il termine per l'eliminazione delle infrazioni stesse da parte del trasgressore. In caso di inottemperanza alla diffida di cui al periodo precedente, l'AgID applica la sanzione amministrativa pecuniaria fino al 5 per cento del fatturato.))

L'AGID (Agenzia per l'Italia Digitale) svolge un ruolo centrale nella definizione e promozione dell'accessibilità degli strumenti informatici in Italia, con particolare attenzione alla Pubblica Amministrazione e, con l'avvento dell'European Accessibility Act (EAA), anche al settore privato.

Le Linee Guida sull'accessibilità degli strumenti informatici di AGID, emanate ai sensi dell'art. 11 della Legge 4/2004 (Legge Stanca), sono il riferimento principale per la Pubblica Amministrazione. Queste linee guida definiscono:

• Requisiti tecnici per l'accessibilità: riguardano siti web, applicazioni mobili, software, documenti elettronici, hardware e postazioni di lavoro. Fanno riferimento a standard internazionali come le WCAG (Web Content Accessibility Guidelines) 2.1 – livello AA e la norma europea EN 301 549.
• Metodologie di verifica dell'accessibilità: indicano come testare la conformità degli strumenti informatici ai requisiti.
• Modello della dichiarazione di accessibilità: un documento che le amministrazioni (e alcuni privati) devono compilare e pubblicare annualmente (entro il 23 settembre) per rendere pubblico lo stato di accessibilità dei propri siti web e applicazioni mobili.
• Meccanismo di feedback: la possibilità per i cittadini di segnalare problemi di accessibilità riscontrati sui siti o app.
• Metodologia di monitoraggio e valutazione: AGID effettua il monitoraggio sui siti web e le app su un campione rappresentativo, relazionando ogni tre anni alla Commissione Europea.
• Circostanze che determinano un onere sproporzionato: casi in cui il rispetto di un requisito di accessibilità comporterebbe un onere eccessivo o un'alterazione sostanziale della natura del servizio.

Novità con l'European Accessibility Act (EAA) - D. Lgs. 82/2022:

Dal 28 giugno 2025, l'European Accessibility Act (Direttiva UE 2019/882, recepita in Italia con il D. Lgs. 82/2022) estende gli obblighi di accessibilità anche a un'ampia gamma di prodotti e servizi offerti dal settore privato. AGID è stata designata come Autorità di vigilanza anche per questa normativa.

Le nuove Linee Guida in consultazione (e che si prevede entrino pienamente in vigore) relative all'EAA si applicano a:

• Siti web e applicazioni mobili (anche per i privati).
• Servizi bancari per consumatori (es. online banking, app di pagamento).
• Commercio elettronico (e-commerce).
• Servizi di trasporto passeggeri (aerei, autobus, ferroviari, per vie navigabili, inclusi urbani, extraurbani e regionali).
• Servizi di comunicazione elettronica.
• Servizi che forniscono accesso a servizi di media audiovisivi.
• Lettori di libri elettronici (e-reader) e software dedicati.
• Terminali self-service (bancomat, biglietterie automatiche, ecc.).
• Dispositivi hardware e software con interfaccia utente (smartphone, tablet, PC).
• Documenti elettronici.

Punti chiave e adempimenti per le aziende (dal 28 giugno 2025):

• Obbligo generalizzato: Le microimprese sono escluse, ma tutte le altre aziende che offrono i prodotti e servizi rientranti nell'EAA dovranno adeguarsi.
• Dichiarazione di Accessibilità: Anche per il settore privato diventa obbligatoria la predisposizione e pubblicazione della dichiarazione di conformità.
• Progettazione inclusiva: Non si tratta solo di adeguamenti tecnici puntuali, ma di progettare l'intero servizio o l'interfaccia che lo eroga pensando fin dall'inizio a tutte le potenziali esigenze dell'utenza.
• Sanctions: Le aziende non conformi rischiano sanzioni economiche (fino al 5% del fatturato annuo), danni reputazionali e la possibile rimozione dei prodotti/servizi dai marketplace.

 

Accessibilità dei moduli e form

In sintesi, le linee guida AGID mirano a garantire che tutti i cittadini, comprese le persone con disabilità, possano fruire dei servizi digitali in modo autonomo, senza discriminazioni e con facilità. È fondamentale che sia il settore pubblico che quello privato si adeguino a queste normative per promuovere un web e servizi digitali sempre più inclusivi.

Per informazioni dettagliate e per consultare i documenti ufficiali, si consiglia di visitare il portale tematico di AGID sull'accessibilità digitale: https://www.agid.gov.it/it/design-servizi/accessibilita.

Le Linee Guida sull'accessibilità degli strumenti informatici di AGID per la Pubblica Amministrazione, basate sull'articolo 11 della Legge 4/2004 e con riferimento alla norma tecnica europea EN 301 549, includono requisiti che si applicano all'accessibilità dei moduli e dei campi di input.

Sebbene il documento non abbia una sezione specifica intitolata "moduli e form", i requisiti per questi elementi rientrano nelle categorie più ampie di:

• Requisiti tecnici per il Web (Capitolo 2.2): Le linee guida fanno riferimento agli standard internazionali come le WCAG (Web Content Accessibility Guidelines) 2.1 – livello AA, che contengono indicazioni precise su come rendere i form accessibili. Questo include, ad esempio, l'etichettatura corretta dei campi di input (<label>) e la gestione del focus da tastiera.
• Documenti non Web (Capitolo 2.3): Per i documenti scaricabili che possono contenere moduli (ad esempio, PDF interattivi), si applicano requisiti specifici per i documenti non web.

In generale, le linee guida di AGID promuovono una progettazione inclusiva che assicuri che le informazioni e i comandi, compresi quelli all'interno dei moduli, siano:

• Percettibili: le informazioni e i comandi necessari per l'esecuzione dell'attività devono essere sempre disponibili e percettibili.
• Comprensibili: facili da capire e da usare.
• Operabili: consentire una scelta immediata dell'azione adeguata per raggiungere l'obiettivo voluto.
• Tolleranti agli errori: l'ambiente deve prevenire gli errori e, in caso si manifestino, fornire messaggi appropriati che individuano chiaramente l'errore e le azioni necessarie per superarlo.

Per approfondire i requisiti specifici relativi ai moduli e ai campi di input, è necessario consultare direttamente il Capitolo 2 delle "Linee Guida sull'accessibilità degli strumenti informatici" di AGID, che dettaglia i riferimenti tecnici alla norma UNI CEI EN 301549.

È possibile consultare il documento completo delle Linee Guida sull'accessibilità degli strumenti informatici per la Pubblica Amministrazione sul sito di AGID.

Accessibilità dei contenuti mobili

Le Linee Guida sull'accessibilità degli strumenti informatici di AGID, emanate ai sensi della Legge 4/2004 (Legge Stanca) e costantemente aggiornate, dedicano ampio spazio all'accessibilità dei contenuti mobili e, più in generale, delle applicazioni mobili.

I principi e i requisiti per l'accessibilità dei contenuti mobili si basano sugli stessi standard internazionali e norme europee di riferimento per l'accessibilità web, adattati alle specificità del contesto mobile. I riferimenti chiave sono le WCAG (Web Content Accessibility Guidelines) 2.1 – livello AA e la norma EN 301 549.

Ecco i punti chiave e le indicazioni generali fornite dalle linee guida AGID per l'accessibilità dei contenuti e delle applicazioni mobili:

1. Applicazioni mobili come strumenti informatici: Le linee guida classificano esplicitamente le applicazioni mobili come "strumenti informatici" soggetti agli obblighi di accessibilità, sia per la Pubblica Amministrazione che, con l'entrata in vigore dell'European Accessibility Act (EAA), anche per il settore privato che rientra nell'ambito di applicazione dell'EAA.
2. Riferimento alle WCAG 2.1 e EN 301 549:
• WCAG 2.1: Vengono recepite le WCAG 2.1, che includono specifici criteri di successo per il mobile. Questi riguardano aspetti come:
• Orientamento dello schermo: Il contenuto non deve limitare l'orientamento (verticale/orizzontale) a meno che non sia essenziale.
• Puntatori (target size): Le aree cliccabili (pulsanti, link) devono avere dimensioni sufficienti per essere attivate facilmente con il tocco, evitando errori.
• Gestures (movimenti): I comandi basati su gesti complessi (es. "pinch-to-zoom" o swipe specifici) devono avere alternative più semplici o essere configurabili.
• Contenuti sensibili al movimento: Eventuali funzioni attivate dal movimento del dispositivo devono avere alternative accessibili.
• Contenuti visibili e operabili: Assicurare che tutti i contenuti e i controlli siano facilmente visibili e utilizzabili, anche con ingrandimento, e non siano nascosti da tastiere virtuali o altre interfacce.
• EN 301 549: Questa norma europea integra i requisiti delle WCAG e aggiunge specifiche tecniche per i prodotti e i servizi ICT, comprese le applicazioni mobili. Ad esempio, dettaglia requisiti per:
• Accessibilità dei controlli nativi: I componenti dell'interfaccia utente nativi (es. pulsanti, slider, caselle di testo) devono essere accessibili tramite le API di accessibilità del sistema operativo (es. VoiceOver su iOS, TalkBack su Android).
• Supporto delle impostazioni di accessibilità del sistema: L'app deve rispettare le preferenze dell'utente impostate a livello di sistema operativo (es. dimensione del testo, modalità scura, riduzione animazioni).
• Interazione con le tecnologie assistive: L'app deve essere compatibile con screen reader, tastiere esterne, switch e altri strumenti compensativi.
3. Principi di progettazione generale applicati al mobile:
• Percepibilità: Testo leggibile con contrasto sufficiente, immagini con alternative testuali, video con sottotitoli e audiodescrizioni.
• Operabilità: Navigazione intuitiva, possibilità di utilizzare l'app tramite tastiera o switch (anche se su mobile l'interazione touch è predominante, l'accessibilità da tastiera è cruciale per alcune disabilità), gestione del focus.
• Comprensibilità: Linguaggio semplice e chiaro, istruzioni comprensibili, messaggi di errore chiari e suggerimenti per la correzione.
• Robustezza: Compatibilità con diverse tecnologie assistive e browser/sistemi operativi mobili.
4. Dichiarazione di Accessibilità: Anche per le applicazioni mobili, i soggetti obbligati (PA e in futuro privati) devono compilare e pubblicare una "Dichiarazione di Accessibilità" annuale, specificando lo stato di conformità dell'applicazione ai requisiti e un meccanismo di feedback per segnalare eventuali problemi.

In sintesi, le linee guida AGID richiedono che le applicazioni e i contenuti mobili siano progettati e sviluppati in modo tale da essere pienamente fruibili da parte di tutte le persone, indipendentemente dalle loro abilità, garantendo un'esperienza utente inclusiva e paritaria.

Strumenti per la valutazione dell'accessibilità dei siti web

Ci sono diversi strumenti che possono essere usati per valutare l'accessibilità dei siti web e che si dividono in due categorie principali: automatici e manuali.

Strumenti automatici

Gli strumenti automatici sono utili per identificare rapidamente problemi comuni e ovvi, come attributi alt mancanti, contrasto insufficiente e struttura di intestazione scorretta. Non possono, però, rilevare tutti i problemi di accessibilità e sono più efficaci se usati come un primo controllo.

• Estensioni per browser: Sono tra gli strumenti più semplici e veloci da usare. Si integrano direttamente nel browser e permettono di analizzare la pagina web che stai visualizzando. Esempi popolari sono WAVE Evaluation Tool, Lighthouse (integrato in Chrome DevTools) e axe DevTools.

• Servizi online: Questi strumenti scansionano un sito web a partire da un URL. Un esempio molto usato è il già citato WAVE, che offre un servizio online oltre all'estensione. Un altro è AChecker. WAVE è una suite di strumenti di valutazione che aiuta gli autori a rendere i loro contenuti web più accessibili alle persone con disabilità. WAVE può identificare molti errori di accessibilità e delle Linee Guida per l'Accessibilità dei Contenuti Web (WCAG), ma facilita anche la valutazione umana dei contenuti web.

• Scanner desktop/server: Software più potenti che possono analizzare un intero sito web o un set di pagine, utili per progetti più grandi. Tra questi, troviamo SortSite e Accessibility Checker di Monsido. MAUVE++ (Multiguideline Accessibility and Usability Validation Environment) è un sistema per valutare l'accessibilità dei siti web controllandone il codice HTML e CSS tramite linee guida, fornisce risultati di convalida per diversi tipi di stakeholder e supporta la convalida delle linee guida W3C WCAG 2.1.

Strumenti manuali

La valutazione manuale è fondamentale perché gli strumenti automatici non sono in grado di comprendere il contesto e la complessità di un sito web. Questi controlli richiedono una comprensione delle linee guida sull'accessibilità (WCAG). 🧐

• Lettori di schermo: Essenziali per capire come gli utenti non vedenti o ipovedenti navigano sul sito. I più comuni sono NVDA (gratuito per Windows), JAWS (a pagamento) e VoiceOver (integrato in macOS e iOS). Usare un lettore di schermo ti permette di verificare se le etichette sono corrette, se il flusso di navigazione è logico e se tutti i contenuti sono accessibili.

• Tastiera: Navigare un sito solo con la tastiera (senza mouse) è un test cruciale. Permette di verificare che tutti gli elementi interattivi (link, pulsanti, form) siano raggiungibili e attivabili, e che l'ordine di tabulazione sia logico.

• Zoom del browser e opzioni ad alto contrasto: Testare il sito ingrandendo il testo o usando le impostazioni di alto contrasto del sistema operativo serve a verificare la leggibilità per gli utenti con problemi di vista.

• Valutazione del codice: Esaminare manualmente il codice HTML, CSS e JavaScript per assicurarsi che siano usate le corrette pratiche di accessibilità (es. uso di elementi semantici, attributi ARIA, ecc.). A supporto di questa attività può essere utile il supporto del tool MUAVE++