Allegato 3 alla D.D.U.O. N. del 21/04/2009 Progetto Skipass Lombardia CAPITOLATO
2 SOMMARIO A INTRODUZIONE A I Situazione attuale B PROGETTO B I Obiettivi B II Oggetto dei finanziamenti C CONTENUTI DEL PROGETTO C I Sicurezza C II Caratteristiche tecniche delle apparecchiature C II a Varchi di controllo C II b Biglietterie b 1 Software di emissione b 2 Stampanti di Titoli C II c Supporti C II d - Reti E COMPATIBILITA TRA SISTEMI E I Situazione attuale e standard E II Standard aperti esempi di applicazioni RFID E III Nuovo Skipass Lombardia E IV Inammissibilità ai finanziamenti F - PRESTAZIONI SUPPLEMENTARI F I Integrazione Carta Regionale dei Servizi F II Raccolta Centralizzata dei dati del Nuovo Skipass Lombardia G INTERVENTO FINANZIARIO H - DOCUMENTI ALLEGATI H I ALLEGATO 1 : Specifiche del formato Skipass Lombardia H II ALLEGATO 2 : Raccolta centralizzata dei dati e Server OpenPass H III ALLEGATO 3 : Interfacciamento con la Carta Regionale dei Servizi
3 A - Introduzione A 1 Situazione Attuale Le Stazioni sciistiche lombarde sono più di 30 e non sono unite tra loro in un unico comprensorio. L Associazione Nazionale degli Enti Funiviari della Lombardia (ANEF Lombardia) ha creato uno skipass unico che può essere utilizzato in tutte le località montane lombarde. Tale soluzione è costituita da due supporti di identificazione in radiofrequenza (Rfid) uniti tra loro mediante una soluzione meccanica a incastro. La ragione alla base di tale soluzione è riferita principalmente al fatto che i sistemi di controllo accessi installati non sono compatibili tra di loro e utilizzano soluzioni che ormai sono stati oggetto di obsolescenza tecnologica. Il quadro complessivo è frammentario e richiede un rinnovamento che dia lo slancio necessario alle Stazioni sciistiche lombarde, sia in un ottica di adeguamento tecnologico che in quello più ampio di volano per l intero settore turistico lombardo. Si sono visti negli ultimi anni importanti novità sia sotto il profilo delle scelte tecnologiche a livello di Hardware sia nelle soluzioni informatiche a servizio dei cittadini. La Regione Lombardia ha deciso di siglare un protocollo di intesa con l Anef Lombardia per contribuire al rinnovamento degli strumenti necessari al rilancio del turismo, contribuendo nell indicazione degli strumenti tecnici alla base dell impegno di spesa. B - Progetto B I Obiettivi Tra gli obiettivi del progetto c è quello di unificare in un unica card Rfid l accesso agli impianti sciistici, in modo da evitare la frammentazione tecnologica oggi presente nelle aree montane. E altresì auspicabile che il Progetto di seguito descritto, favorisca lo sviluppo di tecniche di vendita telematica, le quali consentano uno snellimento delle procedure di vendita. Attraverso la tecnologia a radiofrequenza, che si è ormai imposta presso gli impianti sciistici e le strutture ricettive lombarde nel settore turistico, si amplierebbe l offerta convergendo su una piattaforma aperta, sicura e open source alla quale si potrebbero collegare importanti realtà di attrazione quali musei, stadi, parcheggi impianti fieristici e trasporti pubblici, che stanno migrando verso la tecnologia di riconoscimento in radiofrequenza (RFID). Il sistema di skipass Lombardia deve garantire: Interoperabilità dello skipass in tutte le stazioni sciistiche della Regione Utilizzo del supporto RFID (mani libere) Aderenza del supporto (card) agli standard internazionali, senza restrizioni proprietarie Sicurezza del supporto
4 1. Interoperabilità dello skipass in tutte le stazioni sciistiche della Regione E il concetto di base su cui si costruisce l intero Sistema. Lo sciatore dovrà essere in grado di recarsi in ogni Stazione della Regione, accedendo direttamente agli impianti di risalita, con un unico supporto. La vendita dei supporti sarà gestita in base ad accordi stipulati tra le varie Stazioni sciistiche, ma dovrà tendere ad essere la più capillare possibile, eventualmente con punti di emissione periferici, anche al di fuori della Regione Lombardia o con vendita via internet. 2. Utilizzo del supporto RFID (mani libere) I biglietti dello Skipass Lombardia dovranno contenere un chip RFID (Radio Frequency Identification), peraltro già da tempo utilizzato nelle Stazioni Lombarde con tecnologie non uniformi, a fianco del più obsoleto biglietto a inserimento, I vantaggi di questa soluzione tecnologica sono evidenti: lo sciatore effettua il passaggio in modo rapido e agevole ai tornelli di controllo. la card consente la fidelizzazione del cliente e apre opportunità di marketing impensabili con codice a barre o biglietto magnetico la Regione Lombardia si porrebbe all avanguardia a livello di offerta commerciale e tecnologica, in un ambito di concorrenza sempre più serrata. E ipotizzabile un intelligente gestione di scontistiche concordate tra Anef e Regione Lombardia. 3. Aderenza del supporto (card) agli standard internazionali, senza restrizioni proprietarie (compliance). L offerta dei sistemi integrati di controllo degli accessi per gli impianti di risalita è abbastanza ristretta, mentre quella dei supporti è molto ampia. Bisogna fare in modo che le apparecchiature siano indipendenti rispetto alle card, o meglio che le card adottate rispondano ai requisiti di standardizzazione internazionali ISO15693 e che il fornitore dei sistemi di controllo degli accessi non frapponga ostacoli alla lettura della tessera, adducendo restrizioni di carattere proprietario, le quali di fatto obbligherebbero le Stazioni sciistiche ad acquistare in futuro le card solo dal fornitore di tornelli o da produttori da lui indicati e di fatto controllati, contravvenendo alle più semplici logiche di libero mercato, con evidenti ripercussioni di carattere economico sull utilizzatore finale. Come riferimento del tutto indicativo, una Card ISO 15693 con film termoriscrivibile, viene oggi liberamente acquistata su mercato a meno di 1 Euro per quantitativi superiori a 30.000 pezzi.
5 4. Sicurezza del supporto Non è sufficiente che i chip, contenuti nelle card, siano rispondenti alle indicazioni ISO Standard 15693 e che il fornitore di tornelli garantisca l interoperabilità con i supporti. Il titolo d accesso deve possedere caratteristiche di elevata sicurezza, ossia deve essere blindato in fase di emissione e non deve essere duplicabile. In altre parole, la sicurezza del sistema non deve essere demandata a un Centro di Verifica, che controlli la validità dei titoli, ma deve essere la Card stessa a veicolare e garantire la sicurezza dell intero sistema di controllo degli accessi. Non deve essere possibile produrre, copiare o alterare in alcun modo i dati dei biglietti. I quattro punti sopraindicati sono tutti fondamentali e necessari ai fini del buon funzionamento di un Sistema, come quello dello Skipass Lombardia, che deve rispondere ai principi di Qualità Economicità Sicurezza Semplicità di utilizzo Il sistema dovrà inoltre servire da volano per altre iniziative non legate strettamente agli impianti di risalita. Dovrà essere creato un circuito aperto e virtuoso, al quale potranno aderire altri soggetti, secondo le specifiche dettagliate nel Allegato Tecnico 1. B II Oggetto dei finanziamenti Saranno ammessi ai finanziamenti: Varchi per il controllo degli accessi (sia in adeguamento che in sostituzione) secondo le specifiche descritte al punto C II b e funzionanti secondo la nuova piattaforma del progetto Skipass Lombardia Stampanti per Card Termocromiche secondo le specifiche indicate al punto C II b Lettori della Carta Regionale dei Servizi collegati ad ogni postazione di emissione titoli (biglietteria) e funzionanti Opere per la messa in rete degli impianti di partenza delle Stazioni con le proprie biglietterie. Secondo quanto indicato al punto C II d Server e sviluppo del software di raccolta centralizzata dei dati. Per ragioni legate alla tutela della Privacy, non sono ammessi al finanziamento i sistemi di controllo fisso o mobile delle foto degli sciatori, che resteranno totalmente a carico degli esercenti e il cui utilizzo avverrà sotto la responsabilità delle singole Stazioni sciistiche.
6 C - CONTENUTI DEL PROGETTO C I Sicurezza Il tema della sicurezza in sistemi complessi come quelli di un Controllo accessi basato su tecnologia RFID è delicato e di stretta attualità. Fino a qualche tempo fa la sicurezza era, in generale, garantita dalla segretezza delle informazioni. Negli ultimi tempi con l avvento delle piattaforme aperte e con i nuovi mezzi tecnologici a disposizione l approccio alla sicurezza dei dati è radicalmente cambiato. Nel caso dei microprocessori la transazione processata a bordo del microchip con algoritmi di cifratura, garantisce di per sé la sicurezza dei dati. Per le card a memoria RFiD la transazione avviene in modo del tutto differente e bisognerà quindi che siano comunque garantite, secondo le linee guida internazionali: l integrità la riservatezza l autenticità l unicità delle informazioni residenti sui supporti. L idea che la segretezza sia d aiuto alla sicurezza è intrinsecamente sbagliata. Ogni qual volta ci imbattiamo in una azienda che dichiara che la segretezza del design è necessaria per la sicurezza (nei documenti di identità, nelle macchine per il voto, nella sicurezza aeroportuale), ciò significa invariabilmente che la sua sicurezza è pessima e che non ha altra scelta se non quella di nascondere i dettagli di implementazione. Secondo le più autorevoli tendenze attuali in crittografia (Schneier), è buona regola progettere la sicurezza Rfid con un design aperto e pubblico. La sicurezza basata sulla convinzione che nessuno capisca come funzioni un sistema è profondamente sbagliata perché il reverse- engineering non è difficile. Le linee indicate nel dettaglio nell Allegato Tecnico 1, consentono l interoperabilità e l apertura tra differenti sistemi, garantendo al contempo la sicurezza dei dati sottoposti a transazione. C II Caratteristiche tecniche delle apparecchiature e del software Di seguito vengono descritti i requisiti da considerarsi minimi ed essenziali delle apparecchiature e del software del sistema.
7 C II a Varchi di controllo I varchi di controllo degli accessi dovranno avere i seguenti requisiti tecnici minimi permettere il passaggio di 600 persone/ora in modalità mani libere essere dotati di lettori RFID multistandard ISO 15693 e 14443 non essere sottoposti a chiusure proprietarie che limitino l utilizzo dei titoli emessi secondo le specifiche dell Allegato Tecnico 1 essere dotati di display con interfaccia utente gestire messaggistica avanzata per gli utenti garantire l efficienza operativa anche in assenza di connessione di rete online funzionare all aperto, senza protezioni e in qualunque condizione atmosferica Immagazzinare i dati dei passaggi effettuati C II b Biglietterie Le biglietterie, presso le quali è obbligatorio posizionare gli avvisi di utilizzo dei sistemi RFID secondo le prescrizione impartite dal Garante per la Protezione dei Dati Personali, dovranno avere i seguenti requisiti tecnici minimi: C II b 1 Software di emissione essere in grado di produrre titoli di accesso validi su più domini, es. 1. Stazione, 2. Comprensorio 3. Regione (questi ultimi secondo le specifiche esposte nell Allegato Tecnico 1) Gestire stampanti di Card termocromiche RFID Fornire riepiloghi e storici di emissione Gestire il software di emissione collegato al Lettore della Carta Regionale dei Servizi Lombarda o Il software di emissione dovrà riconoscere e dialogare con la CRS in modalità automatica, secondo quanto descritto al punto F I C II b 2 Stampanti di Titoli Le Stampanti dei supporti dovranno essere in grado di gestire la codifica dei chip ISO Standard 15693/14443 e di stampare il film termocromico riscrivibile eventualmente presente sulle card. Il caricamento delle card dovrà potersi effettuare sia con introduzione posteriore (anche con caricatore) che dalla bocchetta anteriore. Il lettore RFID a bordo dovrà essere in grado di leggere lo Skipass Lombardia, come da Allegato Tecnico 1, senza chiusure proprietarie da parte del fornitore
8 di sistema. C II c Supporti I supporti utilizzati per la Tessera unica dello Skipass Lombardia avranno le seguenti caratteristiche: Tecnologia RFID ISO 15693 Tecnologia RFID duale ISO 15693 e 14443 ( opzionale) Dimensioni ISO Card 7812 (54mm x 85mm) Film a tecnologia termocromica (opzionale) Nessuna personalizzazione e/o chiusura proprietaria del chip da parte dei fornitori del sistema di controllo degli accessi. Libero acquisto sul mercato (non necessariamente dal fornitore del sistema di controllo degli accessi) sia da parte dei singoli esercenti che da parte dell Anef Lombardia sia del chip che della Card finita I supporti sopradescritti dovranno essere riutilizzabili. Nel caso di utilizzo di tecnologia usa e getta dovrà essere garantita la compatibilità ambientale. I soggetti beneficiari sono tenuti a riservare una porzione di una facciata del titolo di viaggio per l apposizione di un logo comune che verrà definito in seguito dalla Regione Lombardia. C II d Reti In un contesto di elevata complessità territoriale come quello montano, lo scenario legato alla messa i rete delle apparecchiature, deve essere adeguatamente analizzato. Non è pensabile che il sistema debba avere come requisito essenziale ai fini del buon funzionamento il collegamento in rete delle apparecchiature sparse sul territorio montano. Questo nemmeno per garantire la sicurezza del sistema che dovrà basarsi su concezioni sistemistiche differenti (vedi Allegato Tecnico 1). Le apparecchiature del sistema di controllo degli accessi agli impianti di risalita dovrà potere funzionare in modalità off-line, anche se le apparecchiature potranno essere predisposte per collegamenti di rete. Eventuali lavori di messa in rete con finalità differenti da quelle sottodescritte saranno a carico delle singole Stazioni e non usufruiranno dei finanziamenti in oggetto nel presente Capitolato. La rete deve garantire: Il collegamento dalle biglietterie ai varchi di base (primi accessi) degli impianti principali delle Stazioni, per consentire la gestione delle ricariche
9 dei titoli via Internet e via SMS o per mezzo di ogni altra eventuale tecnologia di caricamento a distanza consentita dalla legge. Questo tipo di collegamento può essere garantito con la tecnologia Wi-fi o con rete cablata. Il collegamento delle Stazioni al Server Centrale di Raccolta.Questo collegamento sarà garantito dalle linee telefoniche di trasmissione dei dati. E COMPATIBILITA TRA SISTEMI E I Situazione attuale e standard Come già accennato al punto B I l attuale situazione nel campo del controllo accessi agli impianti di risalita in Lombardia è eterogenea e di fatto i sistemi installati sono incompatibili tra di loro. La tecnologia di Identificazione in Radiofrequenza è oggi utilizzati in diversi settori e sempre più massivamente nel settore turistico, come anche descritto nell Allegato Tecnico 1. Gli standard più moderni oggi riconosciuti a livello internazionale per i sistemi di controllo degli accessi sono 2: Proximity (operanti a distanza ravvicinata dalle antenne di lettura), che rispondono allo Standard 14443 Vicinity (operanti a distanza maggiore dalle antenne di lettura), che rispondono allo Standard 15693 Lo standard 14443 è quello più diffuso al mondo, utilizzato ormai nelle principali metropolitane del mondo, in generale nei trasporti pubblici e nel controllo degli accessi, dove non siano necessarie distanze di lettura importanti. Il 14443 si è imposto anche a livello bancario, con applicazioni a microprocessore. Visa ha pubblicato per la prima volta le specifiche contactless nel 2002, ma queste erano principalmente destinate a soddisfare le esigenze dei mercati locali: le prime sperimentazioni sono state portate avanti in alcuni paesi dell'asia, come Giappone, Corea, Malaysia e Taiwan. Negli ultimi anni si sono viste applicazioni bancarie in Europa, Stati Uniti e Canada, con sviluppi sempre più significativi. Lo standard 15693 si è imposto nei settori dove è richiesta una maggiore capacità di lettura, per esempio nella Building automation, spesso nei parcheggi (insieme al 14443), nei sistemi di controllo accessi agli impianti di risalita e nelle applicazioni interne ospedaliere. Vista la diffusione spesso interconnessa tra i due differenti standard, è sempre più diffusa la consuetudine di produrre Lettori multistandard, in grado di
10 interagire con entrambi i protocolli in progetti ad ampio respiro e con molteplici soggetti aggregati. E II Standard aperti esempi di applicazioni RFID Con la diffusione sempre maggiore dei sistemi con tecnologia RFID, si è passati dalle prime soluzioni con formati proprietari alla definizione da parte degli utilizzatori di standard comuni o comunque indipendenti dai System Integrators. Il più evidente standard Open Source basato su tecnologia RFID è l EPC (Electronic Product Code), nato all M.I.T di Boston e diffuso ormai a livello mondiale nella logistica. Altri esempi di formati nati da particolari esigenze di sicurezza e costruiti dalle imprese utilizzatrici sono quelli delle principali metropolitane mondiali che si sono in questo modo svincolate da specifici produttori di sistemi, diventando indipendenti nelle scelte Hardware con notevoli benefici nei costi sia nel breve che nel lungo periodo. Altro più recente esempio assurto alle cronache italiane è quello della Tessera del Tifoso, definita nel formato dall Osservatorio Nazionale delle Manifestazioni Sportive del Ministero dell Interno di concerto con il CONI. La tessera è basata su tecnologia RFID e i vari fornitori di Tornelli dovranno adattarsi alle specifiche definite dall Osservatorio. Il Progetto del Nuovo Skipass Lombardia dovrà fare da volano al turismo lombardo e coinvolgere il maggior numero di soggetti possibili in ambito turistico. Per questo motivo si è deciso di operare su uno Standard aperto con un formato condiviso (vedi Allegato Tecnico 1) e non riferito a soluzioni proprietarie, che porterebbero inevitabilmente a un progetto di nicchia e di corto respiro, con inevitabili lievitazioni dei costi che graverebbero sull utente finale (cittadino). E III Skipass Lombardia unificato Si rimanda all Allegato Tecnico 1, nel quale sono descritte e definite le specifiche del Nuovo Skipass Lombardia E IV Inammissibilità ai finanziamenti Per i motivi ampiamente descritti nel presente documento non sono ammessi ai finanziamenti sistemi di fornitori che non rispondano alle specifiche del Nuovo Skipass Lombardia (Allegato Tecnico 1) o che contrastino con
11 indicazioni descritte nel capitolo C e nei paragrafi relativi, oltre che nel paragrafo F I. F - PRESTAZIONI SUPPLEMENTARI F I Integrazione Carta Regionale dei Servizi La Carta Regionale dei Servizi Lombarda (CRS) è Smart Card basata su microprocessore a contatto, cioè una tessera elettronica contenente una chiave privata che garantisce il riconoscimento dell identità del possessore e al contempo ne tutela la privacy. E' valida come: Tessera Sanitaria Nazionale perché sostituisce il tesserino sanitario cartaceo; Tessera Europea di Assicurazione Malattia perché sostituisce il modello E-111 e garantisce l assistenza sanitaria nell Unione Europea e in Norvegia, Islanda, Liechtenstein e Svizzera, secondo le normative dei singoli paesi; Tesserino del Codice Fiscale; Carta Nazionale dei Servizi perché è stata creata secondo gli standard tecnici internazionali previsti per le Smart Card e per questo consente l accesso ai servizi online che richiedono un identificazione. La CRS è gratuita ed è stata spedita a casa a tutti i cittadini iscritti alle ASL della Lombardia. La capillare diffusione della CRS ne fa un veicolo ottimale per l integrazione con il Progetto di Unificazione dello Skipass Lombardia. La tecnologia della CRS è differente da quella della Tessera del Nuovo Skipass Lombardia, rispondendo ad esigenze differenti. La CRS con tecnologia a microprocessore ha una memoria molto estesa e processa i dati a bordo del chip, secondo gli standard delle Smart Card a contatto. Il tag contenuto nel Nuovo Skipass Lombardia risponde alle caratteristiche delle carte a memoria, ma ha la necessità di essere letto a una buona distanza dalle antenne presenti ai varchi di accesso presso gli impianti di risalita, che tra l altro operano in condizioni estreme, non compatibili con tecnologie di microprocessori a contatto (spesso lo skipass è tenuto in tasca, quando non è assicurato con laccetti agli indumenti). E in ogni caso possibile creare un link tra i due supporti. Grazie ai costi molto contenuti dei lettori di CRS, uno di questi sarà collegato ad ogni postazione di biglietteria sia presso le località sciistiche che nelle postazioni periferiche.
12 I software di emissione forniti dai produttori dei sistemi di controllo degli accessi dovranno essere integrati con i lettori della Carta Regionale dei Servizi, in modo che al momento dalla lettura della CRS i dati dell utente siano automaticamente trasferiti al sistema di emissione, nel completo rispetto della Privacy come descritto nell Allegato Tecnico 2. Questa integrazione tecnologica consentirà di sfruttare la capillare presenza della CRS, consentendo ai soggetti consorziati al Progetto e a quelli che vi aderiranno in futuro, di usufruire di un importante strumento di marketing che potrà consentire ai cittadini possessori di CRS di ottenere agevolazioni convenzionate con la Regione Lombardia. Nell allegato 3 sono fornite le informazioni sufficienti per consentire l integrazione della CRS con le postazioni di biglietteria. F II Raccolta Centralizzata dei dati del Nuovo Skipass Lombardia Il server di raccolta centralizzata dei dati dovrà ricevere le informazioni relative alle tipologie di biglietti venduti dalle stazioni che aderiscono del progetto di unificazione della Tessera unica Regionale. Gli esercenti devono fornire periodicamente su base minima stagionale i dati secondo il formato descritto nell Allegato Tecnico 2.
13 G INTERVENTO FINANZIARIO L intervento finanziario stabilito dal bando sarà ripartito sulla base dei seguenti fattori presenti all atto della domanda: numero di impianti presenti e relativa portata, numero varchi di accesso e biglietterie, disposizione territoriale della stazione sciistica, eventuali altre condizioni particolari. Il contributo viene concesso nei modi e nelle forme stabilite dal bando: nella misura del 50% come contributo a fondo perduto; il restante 50% sarà oggetto di un finanziamento con rata semestrale. Il tasso di interesse è determinato nella misura dello 0,5% annuo. Nella tabella vengono individuati i prezzi contribuibili per singolo bene agevolabile: Tipologia Nuovi varchi di controllo degli accessi, installati e funzionanti Adeguamento tecnologico degli attuali varchi di controllo degli accessi, installati e funzionanti Nuove stampanti per card termo cromiche, installate e funzionanti Nuovi lettori per la Carta Regionale dei Servizi (CRS) collegati ad ogni postazione di emissione titoli e funzionanti Nuovi apparati di collegamento per la messa in rete degli impianti di partenza con le biglietterie Nuovo server unico e software di raccolta centralizzata dei dati del progetto Skipass Lombardia Importi ammissibili Contributo erogabile 7.778,00 7.000,00 1.667,00 1.500,00 3.333,00 3.000,00 222,00 200,00 1.667,00 1.500,00 88.889,00 80.000,00 Qualora dopo la distribuzione dei contributi dovesse risultare un avanzo o la dotazione finanziaria disponibile risulti insufficiente alla copertura delle richieste ammissibili, si procederà alla rideterminazione proporzionale degli interventi finanziari concedibili Il totale dei finanziamenti massimi concedibili ammonta a Euro 4.000.000,00
14 H I ALLEGATO 1 : Specifiche del formato Skipass Lombardia Capitolo 1: La tecnologia stato dell arte 1.0 Il panorama dei sistemi esistenti 1.1 Significato di apertura del sistema 1.2 La tecnologia RFID 1.3 La sicurezza di un sistema Capitolo 2: Le regole di OpenPass 2.0 Cosa è OpenPass 2.1 Tokens, formati e XML 2.2 Gruppo, dominio, società, emittente 2.3 Aree, sicurezza logica e fisica in OpenPass 2.4 Allocazione dei dati nella memoria del tag 2.5 Formati e tokens 2.6 Rappresentazione in XML dei tokens, dei formati e dei biglietti
15 1.0 Il panorama dei sistemi esistenti Ad oggi, gli attori presenti sul mercato, anche se impiegano sulle apparecchiature di nuova concezione standards comuni per i supporti (ISO15693/ISO14443), utilizzano formati proprietari per la registrazione dei dati sui medesimi, limitando la concorrenza e impedendo di fatto l interoperabilità tra sistemi di costruttori differenti, con danno per gli utenti. Schemi di sicurezza proprietari e l impiego di chips con sicurezza a bordo (desiderabile, ma non normata da alcuno standard ISO) impediscono poi di fatto l accesso alle informazioni che questi contengono. Detto semplicemente, il foglio è all incirca lo stesso per tutti, la lingua no. La busta a volte è sigillata. Le esigenze di un sistema di bigliettazione e controllo accessi wide-area sono abbastanza articolate. Innanzitutto, chiunque sia abilitato a farlo, deve essere in grado di emettere biglietti in totale autonomia. I biglietti emessi devono poter essere identificati da chiunque come emessi dall Emittente ed essere riconosciuti validi da tutti. Ogni Emittente deve essere in grado di emettere biglietti per sé o per le società sue consorziate, in assoluta sicurezza e tracciabilità, visto che incassa denaro anche per conto di terzi. Ad ogni biglietto è associato un dominio o livello, che indica la estensione geografica (locale, regionale etc.) della validità. I dati completi del biglietto devono viaggiare sul supporto, in modo tale che ogni punto periferico sia in grado di valutare autonomamente la validità o meno di un biglietto. La presenza di una rete dati wide-area, seppur utile, non deve essere il fattore limitante, per ragioni di affidabilità, rapidità di esecuzione della transazione, di costi e di disponibilità. La diffusione di internet ha portato come naturale evoluzione la possibilità di implementare l e-commerce anche sul controllo accessi. Un cliente che possieda già una card compatibile è in grado di ricaricare la propria card da casa, specificando un codice di identificazione attribuito alla medesima. La scrittura fisica dei dati nel supporto avviene al primo passaggio, su di un dispositivo di controllo accessi opportunamente collegato in rete. La complessità dei sistemi è oggi cresciuta fino ad avere più di un utilizzo per il singolo supporto. Si parla oramai di multifunzione, ovvero su un singolo supporto vengono caricati uno o più biglietti o servizi.
16 1.1 Significato di apertura del sistema Si può considerare un sistema aperto nel momento in cui siano ben documentati il suo utilizzo, la sua estensibilità e la programmazione anche da parte di terze parti. Questo non implica necessariamente il passaggio ad un sistema open source, fatto che su sistemi industriali non è sempre desiderabile. Un sistema può essere considerato aperto a pieno titolo anche se affiancato ad una struttura proprietaria, implementa i punti indicati qui sotto. Considerando le esigenze di un sistema di controllo accessi, i capisaldi sono: - utilizzo di una tecnologia RFID ISO standard, i cui consumabili (tag) sono liberamente acquistabili sul mercato da fornitori terzi - utilizzo di un formato di registrazione dei dati sul supporto RFID ben documentato e che non sia proprietà di qualcuno (l utilizzo deve cioè essere libero da licenze, se non nei termini delle licenze GPL e simili, che definiscono la proprietà intellettuale ma ne sanciscono il libero utilizzo e il diritto di modifica) - accesso libero alle informazioni tramite web services e tramite accesso diretto ai server di database, che devono essere ben documentati. La proprietà dei dati e il loro accesso deve essere a libera disposizione degli utenti finali. Nella pratica informatica corrente, l utilizzo di interfacce programmatiche basate su oggetti XML scambiati magari tramite protocolli http (web services) è spesso sinonimo di apertura del sistema, in quanto si garantisce una interfaccia di interazione tra moduli ben documentata, che garantisce estensibilità dei sistemi e interazione con applicazioni eterogenee. Questo approccio non è direttamente applicabile per la memorizzazione di informazioni sui tags RFID. Bisogna pertanto individuare una tecnologia che dia le stesse garanzie.
17 1.2 Compatibilità tra sistemi eterogenei Le vie praticabili per rendere tra loro compatibili dei sistemi sono principalmente quattro, con differenti pro e contro. - Supporto multiplo - Supporto unico segmentato - Supporto unico bianco - Supporto unico a standard aperto uniformato Supporto multiplo All utente finale vengono dati N supporti differenti, ognuno per ogni tipo differente di sistema installato Pro: soluzione artigianale, non richiede alcuna analisi sistemistica Contro: Interferenza tra i supporti. Possibilità per più persone di usufruire in contemporanea su stazioni differenti. Costo irragionevole. Operazioni di emissione dei supporti raddoppiate o triplicate. Impossibilità di gestire biglietti aperti o a scalare. Supporto unico segmentato All utente finale viene dato un unico supporto, ripartito in segmenti. Ogni qualvolta si passa su un sistema di un nuovo fabbricante bisogna aggiungere un pezzetto di informazione. Pro: L utente finale ha un solo supporto Contro: Il formato generale della segmentazione va regolato da uno standard, ad oggi esistono solo soluzioni proprietarie. Un fornitore è potenzialmente in posizione dominante. Il numero degli attori coinvolti è limitato (ragionevolmente non più di due). Gli spazi allocati sul supporto sono assolutamente isolati tra loro e non si parlano, gli svantaggi e rigidità di gestione sono esattamente gli stessi del caso precedente. Supporto unico bianco L utente finale ha un unico supporto, che è solo un dispositivo di identificazione. Mediante una struttura di rete online e ogniqualvolta l utente cambia stazione, le apparecchiature, chiedendo autorizzazione ad un server centrale, scrivono un contenuto che è valido per la stazione, ma inintelleggibile su apparecchiature differenti. La logica di funzionamento è la stessa delle prenotazioni e ricariche via internet. Pro: Soluzione relativamente semplice Contro: Compatibilità a metà: la tipologia di bigliettazione è ristretta a casi di biglietti basilari. E obbligatoriamente richiesta una infrastruttura di rete. La soluzione non funziona se ci sono problemi di affidabilità di comunicazione verso il server centrale. Chi emette il biglietto deve comunicare immediatamente i dati al server centrale. Sposta i costi di integrazione dal fornitore di apparecchiature alla Stazione, che si deve dotare ed essere in grado di mantenere una infrastruttura di rete interna e verso il server centrale. Supporto unico a standard aperto uniformato
E la soluzione definitiva. L utente finale ha un unico supporto, che è attivato con la prima emissione. Il biglietto viene riconosciuto come valido da chiunque si adegui allo standard. Pro: Soluzione realmente completa, sicura e aperta a tutti. Favorisce la concorrenza. Nessun fornitore è in posizione privilegiata rispetto ad altri, garantendo di fatto i migliori prezzi e servizi alle Stazioni. Contro: Maggiore investimento di sviluppo da parte dei fornitori, che potrebbero opporre resistenze per via di scelte marketing, per non cedere posizioni dominanti. 18
19 1.3 La tecnologia RFID Un tag RFID è banalmente un supporto dati sul quale memorizzare informazioni. La memoria di cui è dotato è una memoria a stato solido, aggiornabile e riscrivibile circa 100000 volte. Il tag è inoltre dotato di un codice seriale identificativo, che identifica univocamente il singolo esemplare, detto UID. Tutti i tags presenti sul mercato utilizzati in applicazioni di controllo accessi oramai rispondono a due standard HF ISO di riferimento, l ISO14443 (proximity) e l ISO15693 (vicinity). I due standard sono strettamente imparentati, tanto da essere spesso interoperabili sugli stessi lettori. Il primo, l ISO14443, norma lo standard di tags che vengono letti a distanza non superiore ai 20cm, e ha trovato naturale applicazione nella bigliettazione nel settore dei trasporti pubblici e nel settore bancario. Il secondo, dominante nel controllo accessi a strutture sportive, consente invece la lettura a distanze teoriche dell ordine di grandezza del metro. Di entrambe le tipologie, su applicazioni di mass transit vengono utilizzate carte a memoria, prive cioè di microprocessore a bordo, applicabile solo nel caso della lettura a prossimità e in applicazioni di tipo bancario visto il lievitare dei costi. La memoria a bordo dei tag è estremamente limitata, ed è normalmente nel range compreso tra 256bit (32 bytes) e 2 kilobit (256 bytes). Inoltre, l accesso al contenuto è estremamente lento. Questo fatto costringe ad una accurata ingegnerizzazione della allocazione del contenuto del tag. Flessibilità dell applicazione, che richiede potenzialmente più spazio per memorizzare informazioni, e una lettura rapida sono entrambe desiderabili, ma sono in contrasto tra loro. Per questa ragione, il tracciato dei dati sul tag non può essere semplicemente un tracciato dati in XML. Modelli, caratteristiche e fabbricanti L aderenza ad uno standard ISO non implica necessariamente che tutti i chips disponibili sul mercato siano identici. I fabbricanti principali di tag HF ISO sono (in ordine alfabetico): EM Electronic Marin (SMH Groupe, Swatch) Infineon (ex Siemens)
20 Inside Contactless Legic NXP (ex Philips) Sony ST Microelectronics (Finmeccanica) TI - Texas Instruments E i principali attori sono (cifre indicative, in ordine di presenza sul mercato globale dell RFID): NXP 30% ST Microelectronics 22% EM 14% Infineon 10% TI 8% Fabbricanti come NXP, TI e ST hanno ampiamente la maggioranza del mercato e i loro prodotti sono di facile reperibilità, metre il resto del mercato è distribuito tra tutti i rimanenti. Ogni fabbricante offre una gamma di prodotti differente per prezzo e prestazioni. Le prestazioni che normalmente vanno di pari passo con i costisono determinate da taglio più o meno ampio di memoria, rispondenza al 100% con gli standards ISO, presenza o meno di sicurezza a bordo. Il discorso sicurezza merita una riflessione attenta. Alcuni fornitori offrono dei prodotti dotati di sicurezza a bordo del chip. I meccanismi che vengono implementati, con diversi livelli di complessità, sono delle passwords che limitano l accesso al chip a chi non ne sia a conoscenza. I limiti di accesso possono essere imposti anche solo in scrittura, ovvero la lettura del contenuto è lasciata libera a chiunque. Purtroppo si tratta in ogni caso di soluzioni proprietarie. Quindi ogni chip, nel caso in cui la sicurezza sia abilitata, va trattato in modo differente. Ad aggravare la situazione, alcuni chips dotati di sicurezza impongono la presenza di moduli di sicurezza hardware sul lettore. Questo impedisce la loro interoperabilità su sistemi di costrutori differenti, che potrebbero aver fatto scelte differenti. Un lettore dotato di modulo sicurezza hardware è in grado di trattare chips standard e chips protetti, ma solo di un fabbricante. Altri chips invece, non impongono alcun modulo di sicurezza hardware sul lettore, rendendo pertanto disponibile a chiunque il loro utilizzo. Esistono anche casi di chips con sicurezza ma customizzati per clienti particolari. Va da sé che il loro utilizzo è impossibile se non su sistemi hardware proprietari, non essendo le loro specifiche logiche di pubblico dominio.