Buongiorno,
mi permetto di sottoporre al Forum una questione che a livello aziendale ci sta preoccupando.
Occupandomi dell’evoluzione della piattaforma di e-procurement di Regione Lombardia, ormai da mesi abbiamo iniziato l’analisi dell’integrazione con SPID, per poi avviare la successiva fase implementativa.
Ci siamo posti la questione dell’autenticazione ai servizi della Pubblica Amministrazione ed in particolare del nostro, da parte di cittadini residenti fuori dalla comunità europea.
La nostra piattaforma consente la partecipazione a gare di qualsiasi soggetto in caso di evidenza pubblica.
Quindi anche uno svizzero, ad esempio, può ovviamente partecipare.
Peccato che se un domani dovessero vincolare UNICAMENTE l’accesso tramite SPID, lo svizzero non potrà mai accedere perché impossibilitato ad ottenere credenziali SPID, dal momento che non ha un Codice Fiscale rilasciato dal nostro stato.
Questo rappresenterebbe un serio problema e sarebbe contro ogni principio di piena partecipazione a procedure di evidenza pubblica.
Questo a cosa porterebbe?
Al fatto che la PA specifica non possa effettuare un eventuale (se vincolante a livello normativo) swith off a SPID, costretta a mantenere in essere più sistemi di autenticazione.
Avete ragionato su tale eventualità?
Ringrazio anticipatamente tutti per i contributi.
Saluti
Ciao @bruno.rottoli,
SPID è possibile rilasciarlo a cittadini italiani o con permesso di soggiorno, detto ciò la fattispecie di cui parli, ovvero cittadini di altri stati, non possono accedere a servizi “italiani” con SPID, pertanto, direi che il fatto di dover avere due metodologie di autenticazione è la necessità (la stessa cosa succederebbe con CIE o CNS). Aggiungo che per i cittadini europei (ma vale anche per gli Svizzeri) grande importanza avrà il nodo eIDAS e quindi la possibilità di altri sistemi di eID esteri di collegarsi a servizi italiani. AgID ha già notificato SPID come eID scheme.
Domande, su che base rilasciate credenziali a cittadini esteri? Quali sono le vostre fonti per garantire l’identità del soggetto? Che tipi di soggetti abilitate (persone fisiche o giuridiche)?
Grazie delle risposte
Umberto Rosini
Agenzia per l’Italia Digitale
Visto che il CAD (art. 63) prevede già che l’accesso ai servizi della pubblica amministrazione possa essere fatto, oltre che con SPID, anche con CIE/CNS e visto che la firma digitale viene rilasciata anche a cittadini stranieri, dal mio punto di vista la soluzione sarebbe quella di far accedere il cittadino straniero con il proprio dispositivo di firma digitale (a cui è normalmente associato un certificato CNS). Concordate?
In particolare, nel caso in esame di piattaforma e-procurement, in cui suppongo che l’utente dovrà comunque sottoporre documentazione firmata digitalmente, questa soluzione non comporta alcun onere aggiuntivo.
Saluti.
Buongiorno a tutti e grazie delle risposte.
@umbros
Ad oggi si registrano su Sintel persone fisiche. Per registrare un’azienda estera, il rappresentante legale dell’azienda si registra sulla piattaforma, compilando più form e caricando il PDF riepilogativo firmato digitalmente. Quindi il tutto in regime di autocertificazione. Le verifiche vengono effettuate in fase di gara (ad es. tramite eCERTIS).
Comunque, per gli stati fuori dalla comunità europea non c’è alcun obbligo normativo di aderire ad un sistema federato europeo (eID). Quindi la soluzione non può essere di “aspettare” che tutti gli stati “fuori Europa” aderiscano. Chi garantisce che la Svizzera lo faccia? Se spegniamo l’attuale basic authentication (e quindi obblighiamo l’accesso solo tramite SPID o CNS ai sensi del CAD) questi soggetti non possono più accedere e sicuramente ricorreranno.
@AndreaM
Ok il rilascio delle firme digitali ai soggetti esteri, ma questo significherebbe tecnicamente poter verificare CNS o CIE estere con associata una firma digitale “italiana”. Ho capito bene?
Poi tecnicamente occorrerebbe dire ad un statunitense di chiedere e ottenere una firma digitale italiana e poi dirgli di “installarla” sulla “loro” CNS o CIE. E provare ad accedere…
No, @AndreaM Per accedere ai servizi occorre un certificato di autenticazione che non è detto sia presente sul dispositivo di firma, indipendentemente dal fatto che questo sia o meno rilasciato da una CA italiana.
Come spiegato sul portale del progetto CNS Ogni CNS contiene i dati identificativi della persona e il codice fiscale, il certificato di autenticazione che, in combinazione con il PIN fornito dall’Ente emettitore consente l’autenticazione in rete, e può contenere anche il certificato di firma digitale.
Le caratteristiche del certificato sono descritte nel Profilo di certificato digitale per l’autenticazione mediante Carta Nazionale dei Servizi (CNS)
Provo a proporre un escamotage all’italiana…
Il Decreto Legislativo 07-03-2005, n.82, art. 64, c. 2-quater prevede che
L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID.
La validità delle istanze presentate su Sintel non è basata sull’identificazione informatica tramite SPID (Decreto Legislativo 07-03-2005, n.82, art. 65, c. 1, let. b) ma sul fatto che le istanze sono sottoscritte mediante una delle forme di cui all’articolo 20 (Decreto Legislativo 07-03-2005, n.82, art. 65, c. 1, let. a).
È quindi sufficiente specificare che l’accesso a Sintel non richiede l’identificazione informatica per consentire legalmente l’uso di username e password. 
Un problema della CNS è rappresentato dal fatto che in mancanza di un codice fiscale italiano viene inserito nel certificato il numero del passaporto o altra stringa, e non credo che ci sia uno standard seguito da chi rilascia le CNS (correggetemi se sbaglio) o perlomeno non è garantita l’interoperabilità con altre banche dati.
Ad esempio ho ricevuto in questi giorni una segnalazione di un’azienda con amministratore delegato straniero, che accedendo con la propria CNS al portale per il voucher digitalizzazione MISE non trova in elenco la propria azienda e quindi non può presentare domanda. Con ogni probabilità è legato al fatto che il numero del passaporto scritto nella sua CNS non è una valida chiave di ricerca nella banca dati delle aziende.
Credo quindi che l’accesso da parte di stranieri meriti una riflessione più ampia con distinzioni anche sul tipo di servizio di cui si parla (consultazione, presentazione domande…) e sull’intero flusso.
Ciao @alranel,
il problema del codice fiscale è un discorso applicativo, è possibile accedere a banche dati internazionali o, come dice @bruno.rottoli, ad altri sistemi come eCERTIS.
Altra cosa: stiamo confondendo la CNS con un dispositivo di firma.
Ho sottoposto la questione che, prima che tecnica è di natura legale ed amministrativa, al responsabile del progetto SPID, Stefano Arbia.
Umberto Rosini
Agenzia per l’Italia Digitale
il problema del codice fiscale è un discorso applicativo, è possibile accedere a banche dati internazionali o, come dice @bruno.rottoli, ad altri sistemi come eCERTIS.
Sì, esatto, è un discorso applicativo che è difficile separare. Se le banche dati le puoi interrogare solo in modo asincrono o in attività di backoffice chiaramente cambiano l’impostazione dell’intero servizio laddove serva consultazione. Ho fatto l’esempio di un servizio dove c’è l’accesso via CNS ma questo singolo fatto non risolve minimamente il problema degli stranieri perché appunto non è stato considerato l’aspetto applicativo…
Lo standard ci sarebbe: http://www.agid.gov.it/sites/default/files/documentazione_trasparenza/strutturacertificatoautenticazionecns_v1.1_.pdf
Lo standard ci sarebbe: http://www.agid.gov.it/sites/default/files/documentazione_trasparenza/strutturacertificatoautenticazionecns_v1.1_.pdf
Che però recita: "In particolare l’attributo commonName (Object ID: 2.5.4.3) DEVE contenere il codice fiscale del titolare (nel seguito: codiceFiscale) e quindi se non sbaglio non dice nulla su cosa scrivere per chi è privo di codice fiscale, anzi proprio non lo considera (!). Mi sbaglio?
piccola curiosità…
Ho notato che nella nuove firme digitali (almeno quelle emesse da aruba) al CN (quindi al codice fiscale) è anteposto il suffisso TINIT-
Mentre sulle vecchie c’era solo il CF.
Il tin se non ho capito male è ancora in fase di studio/progetto, ma sarebbe una sorta di codice fiscale europeo: Tax Identification Numbers.
Infatti volevo proprio domandartelo: in quale certificato CNS hai trovato qualcosa di diverso da un codice fiscale?
Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures, 5.1.3 Natural person semantics identifier
@perrcla,
il TIN(IT) fa riferimento alla codifica ETSI EN 319 412-1 v1.1.1 (pag. 10-11).
Umberto Rosini
Agenzia per l’Italia Digitale
Infatti volevo proprio domandartelo: in quale certificato CNS hai trovato qualcosa di diverso da un codice fiscale?
Non io personalmente, ma ho ricevuto una segnalazione (che non ho potuto verificare personalmente!) direttamente da un’azienda italiana il cui amministratore delegato è straniero ed ha una CNS emessa da Infocert, dove al posto del codice fiscale c’è il numero di passaporto.
Quelli di Infocert fanno un po’ i furbetti perché sul loro sito lasciano intendere che rilasciano autonomamente certificati CNS mentre il Decreto del Presidente della Repubblica 02-03-2003, n.117, art. 2 prevede che i certificati CNS possano essere emessi solo da una Pubblica Amministrazione.
Il malinteso per cui le CCIAA e le società della galassia camerale sono la stessa cosa è dannoso.
Bisognerebbe indagare a nome di quale PA Infocert ha emesso la carta e indagare sul motivo per cui il certificato non rispetta le specifiche.
In effetti ho comprato alla locale CCIAA una CNS qualche giorno fa ma scopro con sorpresa che il certificato è della Aruba.
Comunque questa volta non mi posso lamentare perchè funziona!
In realtà il certificato viene emesso da una CA, ma l’autorità emittente dovrebbe essere una Pubblica Amministrazione. Questo è il certificato presente sulla CNS di Regione Lombardia.
Dall’immagine che hai pubblicato non si capisce se si riferisce al certificato di firma o a quello di autenticazione (CNS)
