Moduli per la pubblica amministrazione
Autorizzazioni, iscrizioni, reclami, consultazioni pubbliche, canali per segnalatori — per comuni, cantoni e agenzie federali che trattano dati dei cittadini sotto controllo pubblico. Crittografati end-to-end, ospitati in Svizzera, conformi a nLPD e GDPR.
I moduli del settore pubblico toccano ogni aspetto della vita di un cittadino: registrazioni di domicilio, licenze edilizie, domande di assistenza sociale, dichiarazioni fiscali, reclami contro funzionari, contributi a consultazioni pubbliche, segnalazioni anticorruzione. A differenza dell'intake del settore privato, il cittadino spesso non ha scelta — per ottenere un permesso di parcheggio, un certificato di residenza o un aiuto d'emergenza, occorre compilare il modulo che l'autorità impone. Questa asimmetria genera un dovere: la pubblica amministrazione deve uno standard di riservatezza misurabilmente più alto, proprio perché la partecipazione non è facoltativa.
Schweizerform è stato costruito per questa asimmetria. Ogni invio è crittografato nel browser del cittadino prima di lasciare il dispositivo. Non possiamo fisicamente leggere domande di assistenza, reclami, risposte alle consultazioni o segnalazioni di whistleblower. Per comuni, cantoni e agenzie federali svizzere — e per gli enti pubblici europei soggetti ad aspettative analoghe — questa proprietà si combina con l'hosting svizzero e con un assetto allineato a nLPD, GDPR e ai quadri di accountability del settore pubblico.
A chi è rivolta questa pagina
Segretari comunali, capi dipartimento cantonali, CIO federali, responsabili della protezione dati del settore pubblico, responsabili della trasformazione digitale e uffici acquisti a livello locale, regionale e nazionale — soprattutto in giurisdizioni in cui i dati dei cittadini sono protetti da garanzie costituzionali o convenzionali.
Perché i dati pubblici esigono uno standard più elevato
I dati dei cittadini differiscono qualitativamente dai dati dei clienti. Le persone divulgano allo Stato ciò che mai divulgherebbero a un'azienda: situazioni familiari, percorsi migratori, diagnosi psicologiche legate a richieste di invalidità, racconti di precarietà finanziaria, precedenti penali, reclami contro funzionari nominati. Lo divulgano perché devono. Questa involontarietà trasforma i normali dati di un modulo in qualcosa più simile a un fascicolo fiduciario.
La maggior parte delle amministrazioni raccoglie ancora questo materiale tramite strumenti progettati per l'intake di marketing — Google Forms, Microsoft Forms, JotForm, SurveyMonkey o portali interni che girano su cloud statunitensi. Tali strumenti memorizzano invii in chiaro su server che il fornitore può leggere. Personale del fornitore, sub-incaricati, autorità straniere in procedure extraterritoriali e qualsiasi attaccante che comprometta l'infrastruttura si trovano tra cittadino e amministrazione. Per autorità soggette a doveri di trasparenza scritti e a obblighi costituzionali di protezione dei dati, questa esposizione è sempre più difficile da giustificare.
- Una residente richiede un aiuto d'emergenza dichiarando reddito, composizione del nucleo e dettagli di salute legati a una disabilità; il fascicolo leggibile si trova su un server ospitato negli Stati Uniti prima che un funzionario lo esamini
- Un cittadino sporge reclamo formale contro un agente di polizia nominato; il database del fornitore conserva l'identità del reclamante in chiaro accanto all'accusa
- Una whistleblower segnala una frode negli appalti tramite un modulo dell'agenzia; la segnalazione — e l'IP e il dispositivo dell'autrice — risiede leggibile su infrastruttura terza
- Una consultazione pubblica raccoglie opinioni su una decisione controversa di zonizzazione; nomi, indirizzi e posizioni politiche dei rispondenti sono memorizzati in chiaro sotto giurisdizione straniera
L'angolo dell'accountability
Gli enti pubblici sono soggetti a leggi sulla trasparenza, controllo parlamentare, esame degli ombudsman e supervisione giudiziaria. Ognuno di questi meccanismi è più semplice quando l'agenzia può dimostrare in modo credibile che nessun terzo — incluso il fornitore del modulo — avrebbe potuto leggere divulgazioni sensibili. L'architettura zero-knowledge trasforma una nota difensiva in una risposta strutturale.
Cosa cambia con i moduli zero-knowledge nella PA
Il cambio tecnico è semplice. I dati del modulo sono crittografati nel browser del cittadino prima della trasmissione. Il server memorizza solo testo cifrato. Solo l'agenzia — con il proprio codice di accesso — può decrittografare l'invio. Il fornitore diventa un corriere di dati illeggibili, non il loro custode.
Il cittadino compila il modulo
Apre un link pubblico (o tokenizzato per canali ad accesso ristretto), compila i campi e allega i documenti richiesti — prove di residenza, copie del documento d'identità, certificati medici, foto. Tutto è crittografato nel suo browser prima della trasmissione: nomi, indirizzi, campi narrativi e contenuto dei file.
Trasmissione e archiviazione
Il payload cifrato viaggia via HTTPS verso data center svizzeri. Il server memorizza solo testo cifrato — non esiste da nessuna parte sulla nostra infrastruttura una copia in chiaro dell'invio del cittadino, e nessun sub-incaricato straniero può essere obbligato a produrne una.
L'agenzia recupera l'invio
I funzionari autorizzati (responsabile pratica, ufficiale di stato civile, DPO) aprono l'invio nel proprio browser. Il codice di accesso dell'agenzia decrittografa i dati sul dispositivo. Lettura, triage e gestione del caso avvengono lato agenzia, all'interno del perimetro istituzionale.
Conservazione, trasferimento e cancellazione
Gli invii possono essere archiviati, esportati nel sistema di gestione documentale dell'agenzia o cancellati conformemente ai termini di conservazione di legge. Poiché non deteniamo chiavi, la cancellazione è crittograficamente definitiva — non esiste copia in chiaro recuperabile lato server.
Dove gli enti pubblici usano Schweizerform
Pratiche cittadine, autorizzazioni e iscrizioni
Iscrizioni di domicilio, licenze edilizie, autorizzazioni di parcheggio, licenze d'esercizio, dichiarazioni di matrimonio, cambi di stato civile — moduli ad alto volume che aggregano identità, indirizzo, famiglia e talvolta informazioni finanziarie. La crittografia lato client mantiene questo mosaico nell'agenzia, non presso il fornitore.
Assistenza sociale e domande di emergenza
Indennità di disoccupazione, aiuti all'abitazione, prestazioni di invalidità, sussidi di emergenza, contributi per la tutela dei minori. Questi moduli raccolgono informazioni finanziarie e mediche profondamente private da persone in situazioni fragili. L'intake zero-knowledge significa che la vulnerabilità del cittadino è visibile soltanto ai funzionari che effettivamente decidono il fascicolo.
Reclami, ricorsi e canali dell'ombudsman
Reclami contro agenzie, funzionari o polizia; ricorsi sulla qualità del servizio; istanze all'ombudsman — comunicazioni in cui il reclamante è strutturalmente più debole dell'istituzione che contesta. Una memorizzazione leggibile dal fornitore aggiunge un terzo a cui il reclamante non ha mai acconsentito a comunicare. L'architettura zero-knowledge rimuove quel terzo.
Whistleblower e segnalazioni anticorruzione
Segnalazioni di frodi negli appalti, dichiarazioni di conflitto di interessi, segnalazioni interne di condotte scorrette, hotline anticorruzione ai sensi della direttiva UE whistleblower o di quadri svizzeri analoghi. Questi canali esistono proprio perché chi segnala teme ritorsioni. Un fornitore di moduli che può leggere la segnalazione — e che può essere soggetto a procedure giuridiche straniere — è una debolezza che il canale non può permettersi.
Consultazioni pubbliche e partecipazione cittadina
Consultazioni, periodi di commento pubblico, contributi al bilancio partecipativo, raccolte firme per iniziative. Identità, indirizzo e posizione politica dei rispondenti sono sensibili in qualsiasi democrazia partecipativa. L'intake crittografato protegge la libertà di espressione a livello tecnico, non solo nell'informativa privacy.
Richieste di accesso ai documenti ufficiali
Richieste di accesso, istanze ai sensi del diritto all'informazione, consultazioni d'archivio — anche da parte di giornalisti e ricercatrici le cui inchieste possono interessare le istituzioni a cui si rivolgono. Crittografare la richiesta stessa impedisce al fornitore del modulo di sapere cosa si sta chiedendo, e da chi.
Cosa vedono davvero cittadini, auditor e autorità
Tre pubblici notano la differenza tra un modulo generico e un intake zero-knowledge: i cittadini che inviano; le autorità di protezione dati e gli ombudsman che vigilano; e le commissioni parlamentari o le corti dei conti che esaminano periodicamente i sistemi e gli appalti delle agenzie.
| Prospettiva | Strumento generico | Schweizerform |
|---|---|---|
| Cittadina invia domanda di assistenza | « I miei dati finanziari e medici sono memorizzati da [strumento] — mi dicono che è sicuro » | « Il modulo dell'agenzia cifra il mio inserimento nel browser; solo l'agenzia può leggerlo » |
| Whistleblower segnala una frode | Testo in chiaro presso un fornitore terzo, potenzialmente soggetto a citazione o procedura extraterritoriale | Solo testo cifrato presso il fornitore; l'agenzia detiene le chiavi |
| Ispezione cantonale o nazionale | Deve valutare la copia leggibile completa e la catena di sub-incaricati su più giurisdizioni | Il fornitore non detiene copia leggibile — l'analisi si riduce all'agenzia stessa |
| Corte dei conti / commissione di controllo | I fascicoli dei cittadini esistono in sistemi del fornitore fuori dal controllo tecnico diretto dell'agenzia | I fascicoli dei cittadini esistono solo in forma cifrata fuori dal dominio dell'agenzia |
Funzionalità che contano per il settore pubblico
- Crittografia end-to-end su ogni modulo, ogni piano, ogni invio — nessun upgrade a pagamento per proteggere dati dei cittadini
- Hosting svizzero in data center svizzeri — risposta diretta a domande costituzionali e di appalti su dove risiedono i dati dei cittadini
- Caricamenti file crittografati fino a 25 MB per file e 250 MB per invio — copre scansioni di documenti, prove di residenza, certificati medici, planimetrie
- EN / DE / FR / IT native — ogni etichetta, errore e conferma nella lingua ufficiale del cittadino, non tradotta da macchina
- Moduli protetti da password e tokenizzati per canali ad accesso ristretto (whistleblower, reclami interni, consultazioni a parti nominate)
- Tetti di risposte, finestre temporali e scadenze rigide per consultazioni e periodi di domanda
- Audit log delle azioni amministrative e delle visualizzazioni di invii — documentazione per ombudsman, corti dei conti e audit ISMS
- Nessun tracker di terzi sui moduli pubblici — il browser del cittadino non invia il contenuto della sua domanda ad analytics di marketing
- Informative privacy chiare e in linguaggio semplice, leggibili dai cittadini nella propria lingua ufficiale — richiesto dai doveri di trasparenza nLPD/GDPR e dalla buona pratica amministrativa
Obiezioni frequenti — e risposte realistiche
« La nostra agenzia usa già Microsoft 365 / Google Workspace nel piano per il settore pubblico »
I piani per il settore pubblico dei grandi fornitori (Microsoft 365 Government, Google Workspace for Public Sector) sottoscrivono addenda di protezione dati, accettano condizioni contrattuali più rigorose e talvolta offrono residenza regionale. Tuttavia non crittografano i dati del modulo in modo da impedire al fornitore di leggerli. Il fornitore detiene comunque invii in chiaro, può essere obbligato a produrli in procedure straniere e dispone di personale e sub-incaricati con accesso tecnico. I moduli zero-knowledge colmano questa lacuna indipendentemente dal piano workspace utilizzato.
« Ci serve compatibilità con open data e trasparenza — la crittografia sembra contraddire la trasparenza »
Non lo fa. Gli invii dei cittadini sono riservati per default in qualsiasi quadro amministrativo — la trasparenza riguarda le decisioni delle agenzie e i dati aggregati, non le divulgazioni personali dei singoli richiedenti. La crittografia protegge l'input lato cittadino. Le agenzie restano libere e tenute a pubblicare decisioni, statistiche ed esiti aggregati delle consultazioni attraverso canali del tutto separati.
« E se un funzionario perde il codice di accesso? »
È il compromesso onesto dell'architettura zero-knowledge. Supportiamo un meccanismo di chiave di recupero: una seconda chiave configurata in anticipo e conservata separatamente, di norma in una busta sigillata custodita dall'ufficio archivi o dal DPO. La maggior parte degli enti pubblici tratta il codice di accesso come la chiave principale dell'archivio — procedura formale, più custodi di fiducia, revisione regolare.
« Ci serve l'integrazione con il nostro sistema di gestione dei fascicoli »
I funzionari autorizzati decrittografano gli invii nel browser e poi esportano nel sistema di gestione attraverso canali standard (CSV, inoltro strutturato, trasferimento manuale tramite interfacce approvate). L'obiettivo del livello zero-knowledge è che la decrittografia avvenga lato agenzia; una volta decrittografati, i dati confluiscono nei vostri pipeline esistenti come qualsiasi altro input. Molte agenzie usano Schweizerform specificamente per la fase di intake lato cittadino, per poi passare a sistemi interni più profondi per l'elaborazione.
« Siamo vincolati alle regole nazionali sugli appalti — possiamo usare un fornitore privato svizzero? »
I quadri sugli appalti in Svizzera e nell'UE consentono in genere SaaS pronti all'uso quando sicurezza, residenza e condizioni di sub-incaricato sono dimostrabili. Hosting svizzero, architettura zero-knowledge e accordo di trattamento standard di Schweizerform sono pensati per essere valutabili nel consueto fascicolo di gara. Come per ogni scelta di fornitore, le funzioni acquisti e DPO dell'agenzia restano decisive.
Avviare l'uso in un ente pubblico
Pilota con un solo modulo lato cittadino
La maggior parte delle agenzie inizia con un singolo modulo critico — di solito un'intake reclami, una domanda di assistenza o un canale whistleblower. Il piano gratuito (1 modulo, 25 invii/mese) è sufficiente per validare il flusso end-to-end senza coinvolgere gli acquisti.
Documentare il rapporto di trattamento
Aggiungere Schweizerform al registro delle attività di trattamento dell'agenzia. Annotare hosting svizzero, architettura zero-knowledge e assenza di sub-incaricati statunitensi. Per i DPO, ciò di norma semplifica la valutazione d'impatto rispetto a strumenti lato cittadino ospitati negli Stati Uniti.
Formare i custodi sul codice di accesso
Designare due o tre custodi (capo dipartimento, DPO, responsabile IT). Stabilire una procedura di chiave di recupero analoga ad altre credenziali critiche dell'agenzia e allinearla alla policy di sicurezza delle informazioni.
Estendere al portafoglio di servizi al cittadino
Una volta convalidato il pilota, i piani a pagamento elevano i tetti di moduli e invii. Le agenzie tipicamente migrano per primi i canali di reclamo, le domande di emergenza, le consultazioni pubbliche e l'intake whistleblower — i canali in cui l'asimmetria tra cittadino e Stato è più marcata.
Adeguare la conservazione alla legge
I termini di conservazione del settore pubblico seguono la legge sugli archivi, non la convenienza del fornitore. Usare la cancellazione degli invii per rispettare il calendario di legge una volta trasferiti i dati nell'archivio ufficiale. Poiché non deteniamo chiavi, la cancellazione è crittograficamente definitiva.
L'essenziale
Gli enti pubblici sono depositari della forma più involontaria di divulgazione di dati nella società moderna: informazioni che i cittadini consegnano allo Stato perché obbligati, spesso in momenti di vulnerabilità o rischio. Uno strumento di moduli che può leggere queste divulgazioni crea una debolezza evitabile nella postura di accountability dell'agenzia — e una spiegazione superflua nei confronti di cittadini, ombudsman, corti dei conti e commissioni parlamentari.
Schweizerform offre una risposta diretta: crittografia zero-knowledge end-to-end su ogni modulo, hosting svizzero, supporto nativo quadrilingue e una postura pensata sulle aspettative elevate del trattamento dei dati nel settore pubblico. Nessun upgrade a pagamento per la protezione. Nessuna dipendenza dal cloud statunitense per l'intake lato cittadino. Nessuna copia di terzi leggibile di fascicoli di reclamo, domande di assistenza o segnalazioni di whistleblower su un server che l'agenzia non controlla.
Inizia con un singolo modulo lato cittadino sul piano gratuito. Hosting svizzero, crittografia zero-knowledge, supporto nativo EN / DE / FR / IT — senza carta di credito.
Avvertenza: questa pagina contiene informazioni generali e contenuto di marketing, non costituisce consulenza legale, regolamentare o in materia di appalti. I riferimenti a nLPD, GDPR, quadri di trasparenza e meccanismi di accountability del settore pubblico sono riassunti a livello concettuale e soggetti a interpretazione giurisdizionale. La responsabilità della protezione dei dati dei cittadini e della conformità degli appalti resta in capo all'ente pubblico e al suo DPO. Consultare uno specialista qualificato in protezione dei dati o diritto amministrativo nella propria giurisdizione prima di basarsi su un riassunto qui presentato per decisioni di conformità o di gara.