IO permette alle diverse Pubbliche Amministrazioni, locali o nazionali, di raccogliere tutti i servizi, le comunicazioni e i documenti in un unico luogo e di interfacciarsi in modo semplice, rapido e sicuro con i cittadini.
Qualunque ente pubblico che conosca il codice fiscale di un cittadino può utilizzare le API di IO per contattarlo, inviargli documenti o avvisi, o conoscere le preferenze dell’utente in termini di servizi attivi e canali di contatto.
La certezza di inviare comunicazioni, avvisi e pagamenti esattamente al cittadino destinatario di quel servizio è garantita dal processo di autenticazione basato su SPID o, in alternativa, CIE. Se il cittadino non dovesse ancora aver attivato l’app IO sul proprio dispositivo, la comunicazione non sarà inoltrata e l’ente potrà raggiungerlo tramite i canali tradizionali.
IO rispetta le prescrizioni della normativa vigente, incluse le recenti indicazioni del nuovo regolamento GDPR, in ossequio al principio “privacy by design”.
Documenti e messaggi sono conservati in un database dispiegato su datacenter europei che utilizza l’“encryption at rest”. Il contenuto è presente nei sistemi del provider solo per il tempo che serve a garantirne l’invio. I dati relativi a transazioni e metodi di pagamento sono trattati da un fornitore certificato PCI.
In qualsiasi momento, il cittadino potrà scegliere di effettuare un download di tutti i dati che lo riguardano o di cancellare la sua iscrizione dal servizio rimuovendo i dati salvati. In questo senso, IO offre agli Enti l’opportunità di migliorare l’esperienza del cittadino anche sotto il profilo di accessibilità delle informazioni relative alla propria privacy.
IO è un progetto open source, basato su processi di sviluppo aperti e partecipati. Questo permette di rovesciare il paradigma della “sicurezza tramite segretezza”: i codici dell’applicazione e delle piattaforme di back-end sono infatti a disposizione di tutti, quindi aperti allo scrutinio di tutta la comunità IT e di coloro che scelgono di dare una mano segnalando malfunzionamenti ed eventuali bug.
Il codice è sviluppato mettendo in pratica le best practice OWASP e vengono utilizzati tool che permettono di monitorare l’integrità delle dipendenze. Ma garantire la sicurezza è un processo continuativo: l’aiuto della community è un fattore importante per il successo delle pratiche di “responsible disclosure”.