E N E L

Questo documento intende fornire informazione alla pubblica opinione in merito alle azioni che l’Enel sta attuando per minimizzare i rischi derivanti dal cosiddetto "problema dell’anno 2000" o "millennium bug".

Il documento è strutturato come segue:

• cenni sul "problema dell’anno 2000";
• impostazione del progetto "Anno 2000";
• stato di avanzamento del progetto.

Il documento sarà soggetto ad aggiornamenti periodici, finalizzati a documentare puntualmente lo stato di avanzamento delle attività ed ogni altra informazione degna di nota.

L’Enel si compone di:

• una Corporate;
• tre Divisioni operative (Produzione, Trasmissione e Distribuzione), responsabili delle fasi primarie del servizio elettrico;
• sei Strutture di Servizio Tecnico/Gestionale (Sistemi informatici, Telecomunicazioni, Ingegneria, Immobiliare e servizi, Ricerca, Gestione Nucleare), che forniscono servizi specializzati alle Divisioni operative.

Il decreto legislativo 16 marzo 1999 n. 79, pubblicato in G.U. 31/3/99 n. 75 serie generale – in base a quanto previsto dalla direttiva 96/92/CE, recante norme comuni per il mercato interno dell’energia – ha delineato un nuovo assetto societario che l’Enel dovrà assumere ai fini dell’attuazione della disciplina relativa alla liberalizzazione del mercato elettrico.

In particolare, l’articolo 13 del decreto prevede che l’ENEL costituisca società separate, coordinate dalla capogruppo Enel S.p.A., per l’esercizio delle seguenti attività:

• produzione di energia elettrica;
• distribuzione di energia elettrica e vendita ai clienti vincolati;
• vendita ai clienti idonei;
• esercizio dei diritti di proprietà della rete di trasmissione nazionale, comprensiva delle linee di trasporto e delle stazioni di trasformazione dell’energia elettrica e le connesse attività di manutenzione e sviluppo della stessa rete di trasmissione nazionale.

Inoltre, l’Enel dovrà costituire una società per azioni separata per le attività relative di smantellamento delle centrali elettronucleari dismesse, la chiusura del ciclo combustibile e le attività connesse e conseguenti. Le azioni di tale società sono assegnate al Ministero del Tesoro.

L’articolo 3 del decreto legislativo prevede, altresì, la costituzione di una società per l’attività di trasmissione e dispacciamento dell’energia elettrica, la gestione della rete unificata della rete di trasmissione nazionale, la gestione dei flussi di energia, dei dispositivi di interconnessione ed i servizi ausiliari necessari. Le azioni della società saranno assegnate al Ministero del Tesoro in data da determinarsi con successivo decreto.

Il cosiddetto "problema dell’anno 2000", o "millennium bug", deriva da una varietà di scelte tecniche nella gestione della data effettuate in passato dagli sviluppatori di software, caratterizzate dalla conseguenza di non gestire correttamente le date successive al 31/12/1999 (o, a volte, date precedenti).

La principale tra queste scelte è quella dell’uso di due sole cifre per la rappresentazione dell’anno, ma ve ne sono altre altrettanto pericolose quali l’uso di uno stesso algoritmo per la gestione della bisestilità nel 1900 e nel 2000 (ma il 2000 è bisestile mentre il 1900 non lo era), o l’uso di valori particolari nel campo data con significato convenzionale (ad es. 9/9/999 con il significato di "end of file").

Le conseguenze di ciò sono imprevedibili, come è caratteristico dell’errore software, variando dal blocco del sistema all’introduzione di errori nelle banche dati, alla produzione di risultati scorretti nelle elaborazioni.

Ciò che è caratteristico di questo problema è che gli errori possono manifestarsi in qualsiasi dispositivo dotato di logica elettronica di controllo, il che rende il progetto di manutenzione, in sé banale, il più vasto e trasversale mai sostenuto dall’industria informatica.

Il problema interessa principalmente sei aree: il sistema informatico centrale; i networks e i personal computer; i rapporti con i terzi; i microprocessori ed i calendari interni; il grado di adeguamento dei partners commerciali; il funzionamento macroeconomico, cioè del sistema economico che circonda le imprese.

L’impatto economico di questo problema è stato quantificato in diversi modi. Al primo gradino si trovano i costi diretti per la soluzione del problema, che in molti casi conducono a ritardare investimenti informatici. L’impatto su produzione, produttività e inflazione, invece, non è ancora molto chiaro. I costi sostenuti per l’aggiornamento dei sistemi informativi, infatti, in molti casi possono condurre a incrementi della produttività, fermo restando che la soluzione del problema ha sicuramente distolto investimenti da nuovi progetti a più alto valore aggiunto.

Se gli effetti economici delle azioni per risolvere il problema non sono facilmente definibili, il costo diretto mondiale della sua soluzione è stato quantificato dalla Software Productivity Research, che parla di 1.600 miliardi di dollari, comprendenti tutto, anche i microchip inseriti nei più svariati dispositivi, i costi legali per le cause derivanti dall’anno 2000, le riparazioni delle banche dati e quant’altro. Il Gartner Group, attivo nella consulenza sulle tecnologie informatiche, ha stimato in 600 miliardi di dollari i costi globali possibili, soltanto per l’adeguamento dei sistemi informativi.

Lo stesso gruppo ha indicato i settori che nei Paesi industrializzati sono più esposti al verificarsi di inconvenienti di rilievo. Si tratta di agricoltura, settore petrolifero, settore alimentare, servizi pubblici, sanità, scuola, trasporti, energia e acqua. Le banche europee, con assicurazioni e servizi finanziari, hanno invece un basso grado di rischio, grazie anche alla recente esperienza fatta con la nascita dell’Euro.

Nonostante l’attenzione su questo tema a livello mondiale sia in crescita, un recente rapporto dell’OCSE sottolinea che i rischi informatici dell’anno 2000 continuano ad essere sottostimati, in quanto in molti Paesi solo recentemente si è iniziato a prendere provvedimenti su scala nazionale, e che più in generale la mancanza di preparazione in settori come la Sanità, le piccole imprese e alcune parti delle Pubbliche Amministrazioni, soprattutto locali, solleva particolari preoccupazioni.

Gli obiettivi del progetto "Anno 2000" dell’Enel sono:

• garantire la sicurezza dei clienti, del personale dell’Enel, dell’ambiente, degli impianti;
• garantire la continuità del servizio elettrico;
• evitare danni economici;
• contribuire ad una corretta informazione dell’opinione pubblica sul problema dell’anno 2000.

Il progetto "Anno 2000", seppure caratterizzato da dimensioni assolutamente inusuali, si compone essenzialmente di attività di manutenzione ordinaria (integrate da un piano di contingency). E’ stato pertanto deciso, sin dalle fasi iniziali del progetto, di incaricare dello svolgimento di tali attività le strutture dell’azienda nel rispetto delle loro normali competenze.

Sono stati conseguentemente avviati nove progetti, uno per ciascuna delle strutture principali. Ciascun progetto si articola all’interno della struttura per raggiungere tutti i diversi ambiti operativi presenti in essa.

I nove coordinatori di progetto sono a loro volta riuniti in un comitato, finalizzato al coordinamento delle attività delle strutture e alla condivisione delle esperienze, nonché ad interagire con i terzi interessati. Alla guida del comitato, in qualità di responsabile del progetto a livello di gruppo Enel, il vertice aziendale ha designato il Direttore della struttura Sistemi Informatici.

Il progetto "Anno 2000" è stato oggetto di una azione di auditing, svolta dalla funzione competente di Corporate, iniziata nel luglio 1998. Vengono condotte azioni di follow-up scaglionate nel tempo.

L’Enel ha inoltre affidato un incarico di verifica ad una entità esterna, il CESI (Centro Elettrotecnico Sperimentale Italiano S.p.A.), che certifica:

• le metodologie di adeguamento dei sistemi e degli apparati;
• le metodologie per l’esecuzione dei collaudi;
• la struttura del piano di contingency;
• le metodologie per la documentazione delle attività svolte, finalizzata al controllo del progetto e ad una sua successiva rendicontazione.

La definizione di "conformità all’anno 2000" adottata dall’Enel è quella definita dal BSI (British Standard Institution), che è quella più diffusa tra le maggiori aziende e costituisce uno standard de facto. La definizione, che è contenuta nel documento PD2000-1:1998 del BSI-DISC, è riportata nella nota a pié di pagina .

E’ opportuno ricordare che la definizione di conformità del BSI è molto stringente e che qualsiasi sistema concretamente realizzabile può conformarvisi solo nell’ambito delle specifiche funzionali in base alle quali è stato realizzato (ad esempio, "nessun valore della data corrente" va inteso nel senso di "nessuna data nella quale il sistema si potrà concepibilmente trovare ad operare").

E’ anche opportuno che il concetto di "conformità all’anno 2000" venga affiancato con il concetto complementare di "predisposizione all’anno 2000" (2000 readiness): un sistema non conforme viene detto "predisposto all’anno 2000" se le sue difformità hanno impatto trascurabile sulla funzionalità e sulle prestazioni. Questa condizione è in realtà abbastanza frequente. Per diversi sistemi, caratterizzati da una limitata gestione delle date, si può affermare che le cosiddette "misure di contenimento" sono sufficienti ad assicurare un funzionamento esente da difetti. Tra le misure di contenimento più comunemente incontrate citiamo:

• la retrodatazione dell’orologio interno del sistema (tipicamente viene prescelto un anno bisestile, quale il 1980 o il 1996, a seconda della vita residua prevedibile per il sistema; l’uso dell’anno 1972, se applicabile, garantisce anche la corretta individuazione del giorno della settimana);
• la regolazione manuale dell’orologio interno una volta superata la data critica del 31/12/1999.

La metodologia di redazione del piano di contingency adottata dall’Enel è quella proposta dal NERC (North-American Electricity Reliability Council), parzialmente adattata alla realtà operativa dell’Enel. Il piano si compone delle seguenti fasi:

• identificazione dei rischi operativi;
• analisi degli scenari;
• definizione delle strategie per la gestione del rischio;
• pianificazione generale e di dettaglio.

Altri aspetti metodologici del piano che meritano di esser citati sono i seguenti:

• la predisposizione periodica di una reportistica sintetica unificata, che consente al comitato guida di tenere sotto controllo l’avanzamento delle attività;
• la convocazione di riunioni periodiche, tanto a livello di comitato guida quanto a livello di progetti di struttura;
• l’informazione al personale non coinvolto direttamente nel progetto, attualmente in preparazione.

Le fasi in cui il progetto "Anno 2000" si articola sono brevemente descritte appresso. Va sottolineato che si tratta di una impostazione assolutamente "classica", del tutto conforme cioè a quanto viene raccomandato nella letteratura specializzata ed a quanto vien fatto in aziende di dimensioni comparabili.

Le fasi indicate non vengono portate avanti in modo rigidamente seriale. Anche se, a livello di singolo sistema, le fasi si susseguono necessariamente nell’ordine indicato, a livello globale esse vengono in effetti portate avanti in modo parzialmente parallelo (es.: l’assessment inizia dopo l’inizio dell’inventario, ma prima del termine di questo).

L’inventario consiste nell’identificazione dei sistemi potenzialmente vulnerabili e delle loro principali caratteristiche (fornitore; numerosità sul territorio). Assai importante è l’individuazione della criticità del sistema ai fini degli obiettivi del progetto, che condiziona la priorità assegnata al sistema nelle fasi successive.

Sono stati presi in esame in particolare:

• i sistemi comunque caratterizzati dal contenere logica di controllo (embedded systems), quali i sistemi di controllo del sistema elettrico ("dispacciamento"), i sistemi di controllo di processo, i sistemi di telecontrollo e telegestione, i sistemi di protezione e di automazione, i sistemi di controllo ambientale, i sistemi di sicurezza, gli impianti tecnologici di edificio, etc.;
• i sistemi di telecomunicazione;
• i sistemi di calcolo gestionale e scientifico, a livello di hardware/firmware, software di base e di ambiente, software applicativo.

L’assessment consiste nell’individuazione delle azioni che dovranno essere svolte nel seguito del progetto sul sistema considerato. E’ un’attività complessa, che comporta la raccolta di informazioni diversificate (dichiarazioni di conformità del fornitore, o meno; risultanze del collaudo del sistema, che per i sistemi critici viene effettuato anche in presenza di dichiarazioni positive da parte del fornitore; caratteristiche funzionali del sistema e sue interfacce), e che si conclude con il riconoscimento della conformità del sistema o, all’opposto, delle azioni da svolgere.

Le azioni possibili sono anch’esse diversificate, variando tra la sostituzione del sistema, il suo adeguamento, in alcuni casi il suo abbandono; è anche possibile che vengano definite strategie di contenimento come precedentemente descritto (es. retrodatazione).

L’adeguamento del sistema avviene, sulla base di quanto definito nelle fasi precedenti, secondo una schedulazione temporale che si basa in modo essenziale sulla diversa criticità dei sistemi interessati.

I sistemi adeguati vengono collaudati per verificare il buon esito delle attività svolte.

La complessità di questa fase dipende in particolare dal numero di interfacce che il sistema presenta, in quanto la presenza di interfacce complesse comporta a volte la progettazione ed esecuzione di un collaudo integrato di una rete di sistemi interconnessi. Per l’ambiente dell’informatica gestionale, ad esempio, che è composto di procedure fittamente interconnesse, è stato necessario predisporre un vero e proprio clone parziale dell’ambiente di esercizio, completamente isolato da questo (per un’occupazione complessiva di spazio su disco pari a 1.500 Gigabyte).

Per i sistemi caratterizzati da numerosità elevata, la diffusione sul territorio degli adeguamenti certificati può comportare un onere gestionale considerevole.

Le azioni delineate nei punti precedenti hanno lo scopo di diminuire il rischio di malfunzionamento. E’ però necessario considerare che, data la complessità del progetto ed il numero delle interazioni interne ed esterne, nessuno può garantire che tale rischio venga annullato.

Il piano di contingency ha per oggetto la individuazione, pianificazione, progettazione di dettaglio delle azioni miranti alla riduzione del rischio residuo, delle azioni cioè da intraprendere per circoscrivere gli effetti negativi dei malfunzionamenti che si dovessero comunque manifestare, nonché dei malfunzionamenti di fonte esterna (fornitori, etc.). Per la sua impostazione vedi il precedente punto "3.4.2 – Il piano di contingency".

In questa sezione sono documentate le iniziative attuate e quelle in atto nei confronti dei terzi.

L’Enel intrattiene rapporti sull’argomento con diversi interlocutori, tra i quali:

• il "Comitato anno 2000" presso la Presidenza del Consiglio dei Ministri, che ha richiesto ufficialmente all’Enel informazioni sulle sue attività attraverso la sua sottocommissione "Settore energia e sistema produttivo";
• la sottocommissione DG III – Industria della Commissione Europea;
• associazioni di categoria (Confindustria, etc.);
• organismi internazionali (UNIPEDE/Eurelectric, UCTE).

Il presente documento, come già detto in apertura, intende fornire ai clienti informazioni dettagliate sulle iniziative in atto.

In ambito internazionale l’UCTE (organismo di coordinamento tra i gestori di reti elettriche europee) ha avviato da tempo l’analisi dell’impatto causato dal "problema dell’anno 2000" sulla continuità d’esercizio dei sistemi elettrici interconnessi.

Sono state deliberate raccomandazioni specifiche d’esercizio per mitigare i rischi connessi al cambio di data che l’ENEL ha recepito, elaborando, di concerto con le società elettriche dei paesi confinanti, degli appositi piani di dispacciamento.

Sono stati avviati contatti con i produttori nazionali di energia elettrica (produttori locali; produttori indipendenti; municipalizzate). Tali contatti, che vengono attuati tramite le associazioni di categoria (UNAPACE, Federelettrica) e, per i maggiori produttori, con contatti diretti, hanno due obiettivi:

• concordare appropriati codici di condotta per la gestione delle interconnessioni elettriche nei periodi critici;
• valutare il grado di adeguamento dei produttori indipendenti all’anno 2000, allo scopo di stimare il rischio residuo di turbativa sulla rete elettrica.

Sono stati interpellati i fornitori dei sistemi, precedentemente acquisiti dall’Enel, per i quali è stata avviata l’attività di certificazione, al fine di riceverne una dichiarazione sulle caratteristiche di conformità dei sistemi stessi. Allo stesso modo sono stati interpellati i fornitori dei servizi potenzialmente vulnerabili al problema dell’anno 2000. Le risposte ricevute sono state prese in esame nel corso del processo di assessment.

Agli stessi fornitori verrà inoltre chiesto di garantire la disponibilità di personale nei periodi critici, per l’effettuazione di ogni intervento che si dovesse rendere necessario.

Per quel che riguarda invece le forniture di materie prime e servizi di rilevante importanza è in corso l’invio ai fornitori di questionari miranti a valutarne il grado di affidabilità. Le risposte verranno utilizzate, ove necessario, nella predisposizione dei piani di contingency.

l’Enel ha deciso di attenersi alla politica di non modificare, a meno che non sia indispensabile, i formati utilizzati nello scambio dei dati. A questo scopo vengono implementate e documentate tecniche di windowing, con particolar riferimento al "parametro di windowing" .

Tutte le controparti coinvolte in processi EDI verranno comunque interpellate per verificare la loro accettazione dei principi esposti.

In questo capitolo vengono esposti dati di sintesi sull’avanzamento del progetto. Le aree aziendali considerate sono le seguenti:

• l’erogazione del servizio elettrico;
• la rete di telecomunicazioni;
• l’informatica gestionale;
• la gestione nucleare.

Per ciascun area sono indicati, in particolare:

• le tipologie principali dei sistemi che vengono certificati nel quadro del progetto;
• le modalità prevalenti di intervento decise per ciascuna tipologia di sistema;
• lo stato di avanzamento delle attività di certificazione e di diffusione sul territorio dei sistemi certificati.

L’erogazione del servizio elettrico risulta dall’attività congiunta della Divisione Produzione, della Divisione Trasmissione e della Divisione Distribuzione, che rappresentano le tre fasi/processi del sistema elettrico. Le principali tipologie di sistemi che vengono certificate sono le seguenti:

• i sistemi di telecontrollo, che consentono l’operatività remota delle cabine primarie distribuite sul territorio mediante telecomando degli interruttori di AT e di MT, a partire da 14 centri di controllo. L’adeguamento dei sistemi è già terminato, ed il termine del collaudo è previsto entro giugno; l’installazione sul territorio è prevista entro settembre;
• i sistemi di protezione delle reti di distribuzione di AT e MT, situati nelle cabine primarie. Si tratta di varie migliaia di apparati, solo un migliaio dei quali però elaborano date; di questi ultimi è stata già verificata la conformità (termine delle attività nello scorso mese di aprile);
• i sistemi telefonici di risposta automatica (ACD), che rispondono automaticamente all’utenza durante i guasti e smistano le chiamate agli operatori in turno o al telesportello. E’ stato verificato che i sistemi sono "ready" (si verificano malfunzionamenti limitati, senza impatto sui livelli di servizio). Questi sistemi verranno resi conformi o retrodatati entro giugno;
• i GMC (Gruppi di Misura e Controllo per gli utenti a tariffa multioraria). Si tratta di circa 12.000 sistemi, installati presso i clienti di maggiori dimensioni. Questi sistemi sono stati verificati conformi;
• i sistemi installati nelle stazioni elettriche della trasmissione, quali i dispositivi di controllo locale, protezione e comando. Solo una parte di questi sistemi effettua trattamento di data, risultando, comunque, conforme all’anno 2000. Meno rilevanti ai fini del servizio sono gli apparati registratori o di monitoraggio, che verranno adeguati entro il mese di giugno;
• i sistemi per la teleconduzione delle stazioni elettriche AT ed AAT, articolati su 13 posti di teleconduzione. E’ stato verificato che i sistemi sono già "ready" (si verificano solo alcune non-conformità nella reportistica); verranno comunque resi pienamente conformi, con termine delle attività entro giugno;
• i sistemi per la supervisione e controllo del sistema elettrico, costituiti dal Centro di Controllo Nazionale e dagli 8 Centri di Ripartizione sul territorio. Le attività di adeguamento sono in corso e termineranno entro giugno;
• i sistemi di processo presenti nelle centrali elettriche: si tratta in particolare dei sistemi di supervisione e controllo, dei sistemi di teleconduzione e telecontrollo, dei sistemi ausiliari. Le modalità d’intervento consistono nell’adeguamento o nella retrodatazione, in dipendenza da motivi tecnico-economici e di esercizio. La conclusione delle attività è prevista entro settembre.

L’Enel usufruisce di una vasta rete privata di telecomunicazioni, nata per garantire una maggiore affidabilità dei servizi di telecomunicazione occorrenti per il controllo e l’esercizio della rete elettrica. Le principali aree funzionali di questa rete sono le seguenti:

• la rete di supporto al telecontrollo ed alla telegestione degli impianti elettrici, che è esente dal "problema anno 2000" (è basata su tecnologie analogiche o comunque non vulnerabili);
• la rete della telefonia operativa mobile, anch’essa esente dal problema per gli stessi motivi;
• la rete della telefonia operativa fissa; parte dei suoi autocommutatori sono esenti dal problema o conformi, per la parte rimanente è stata decisa e già attuata la retrodatazione;
• la rete IP Intranet, che collega tutte le sedi aziendali ed è completamente conforme;
• la rete di Trasmissione Dati X.25 e Frame Relay; parte dei suoi nodi sono conformi, per la parte rimanente è stata decisa e già attuata la retrodatazione;
• la rete della telefonia gestionale, per i cui centralini privati (PABX) non conformi è in corso una attività di adeguamento che si concluderà entro ottobre.

La continuità del servizio elettrico, in senso stretto, non dipende dal corretto funzionamento dei sistemi di informatica gestionale. L’importanza di tali sistemi ai fini del business, peraltro, è quella tipica di una azienda evoluta ed eventuali malfunzionamenti possono arrecare danni economici e d’immagine.

Nell’informatica gestionale dell’Enel si distinguono tre tipologie principali di sistemi:

• i sistemi centrali, che includono l’hardware, il software di base ed il software di ambiente dei centri di elaborazione dati. Gli interventi consistono nell’adeguamento di parte dell’hardware e nell’innalzamento di versione di tutto il software (passando al sistema operativo IBM OS/390 e ad un corredo software di versione adeguata); tutte queste attività sono terminate a metà di aprile;
• i sistemi distribuiti, che includono l’hardware, il software di base ed il software di ambiente delle reti locali. Gli interventi consistono nella sostituzione di una parte limitata dei PC e nell’adeguamento del corredo software; l’hardware di connessione alle LAN è stato verificato conforme. La predisposizione dei corredi software adeguati terminerà entro il mese di maggio, la fase di diffusione sul territorio entro ottobre;
• il software applicativo gestionale. Oltre un terzo delle procedure era stato sviluppato secondo criteri di conformità all’anno 2000; per le altre gli interventi consistono nella revisione generalizzata, condotta in generale in occasione di altri interventi di manutenzione. Le attività di revisione, collaudo e passaggio in esercizio termineranno entro il mese di giugno.

E’ stato inoltre avviato un collaudo integrato dell’intero sistema, con la partecipazione degli utilizzatori, allocando a tale scopo partizioni separate dei sistemi centrali e ricreando in esse un completo ambiente gestionale.

Come è noto, gli impianti nucleari italiani sono in fase di dismissione.

Nell’ambito del progetto "Anno 2000" vengono certificati i dispositivi legati alla sicurezza nucleare ed alla radioprotezione. Dato il contesto la criticità è molto limitata, in quanto i sistemi hanno esclusivamente compiti di rilevamento e misura.

La maggior parte dei dispositivi esaminati (circa il 60%) non richiedono interventi di adeguamento in quanto sono già conformi o presentano malfunzionamenti irrilevanti. Le attività di adeguamento della restante parte degli apparati saranno completate entro il mese di luglio.

E’ stata predisposta la prima edizione del piano di contingency secondo le metodologie sopra citate. Il piano verrà mantenuto costantemente aggiornato per adattarsi, ove necessario, alle variazioni nel progetto Enel o nell’ambiente esterno.

Tra le misure previste dal piano di contingency meritano di essere citate le tecniche di gestione del sistema elettrico studiate ad hoc per mitigare i rischi della transizione di data. Ad esempio, la rete AT sarà esercita al massimo livello di interconnessione consentito onde avere piena ridondanza; allo stesso tempo, il numero di gruppi di produzione connessi in rete sarà tale da garantire un ampio margine di riserva disponibile. Tali misure preventive, assieme ad altre più specifiche, consentono di gestire in sicurezza il sistema elettrico nella sua globalità, prescindendo dai rischi specifici relativi a ciascun singolo processo elementare.

Tra le misure studiate per fare fronte ai possibili malfunzionamenti dei sistemi specifici, invece, citiamo la disponibilità di risorse interne ed esterne di pronto intervento nei periodi critici, in particolare le prime settimane dell’anno 2000, e la predisposizione di adeguati sistemi di backup per i processi ad alto rischio.