Segnalo l’articolo di @Patrizia_Saggini su agendadigitale.eu, sulle nuove linee guida Agid recanti le regole tecniche dei gestori di attributi qualificati per identità digitali.
In particolare incollo la parte finale in cui si delineano gli effetti concreti e i possibili scenari:
Citazione
"Se le Linee Guida verranno applicate al massimo delle potenzialità, si potrà arrivare ad un completo superamento delle autocertificazioni e dichiarazioni sostitutive dell’atto di notorietà previste dal DPR 445/2000 – tutte le volte in cui tali qualità, stati o altro è contenuto in un pubblico registro o il dato è detenuto da un’Autorità Pubblica, visto che il dato (ovvero Attributo) sarà verificato in tempo reale e darà la possibilità di procedere nella richiesta del servizio o meno.
Le Linee Guida rappresentano, da questo punto di vista, la completa attuazione del principio di interoperabilità e once only, in cui tutte le PA hanno accesso diretto e immediato ai dati di cui necessitano, evitando il meccanismo attuale di domanda/risposta o verifica manuale da parte degli operatori o inserimenti multipli di dati (con relativi errori, duplicazioni …).
Solo per fare qualche esempio:
la qualità di proprietario di un immobile – certificato dall’Agenzia delle Entrate – in particolare nei registri catastali, è elemento qualificante per la presentazione della Dichiarazione IMU, e quindi viene verificato attraverso la richiesta dell’attributo al momento dell’accesso e/o compilazione della dichiarazione.
altro caso interessante è l’attributo che attesta la qualifica di legale rappresentante, il cui gestore è il Registro delle Imprese: finalmente potrà essere possibile richiedere un servizio online anche per le persone giuridiche, evitando compilazione di moduli cartacei e/o scansionati, dal momento che l’identità SPID/CIE dell’interessato sarà “collegata” anche al ruolo che riveste nell’impresa.
anche il dato della dichiarazione ISEE – in questo modo – viene verificata in tempo reale (con accesso al dato nella banca dati INPS), evitando anche in questo caso le verifiche successive dei dati e/o errori di compilazione da parte degli interessati.
Di conseguenza, ci sarà il completo superamento dei controlli successivi alla presentazione della richiesta, eliminando una cospicua parte di lavoro che viene svolto dagli operatori nel back office, e quindi recuperando “forza lavoro” per attività più qualificanti.
Sarà così necessaria una progettazione più accurata dei servizi online e dei requisiti necessari per presentare domanda, passando dal “modulo online” con la logica cartacea delle “crocette” al vero e proprio servizio online, in cui la richiesta è auto consistente, perché contiene fin dall’origine tutti i dati necessari per poter usufruire del servizio richiesto."
nell’articolo di @Patrizia_Saggini trovo scritto questo che dovrebbe contenere la risposta alla tua domanda:
L’accesso agli attributi e, di conseguenza, la loro attestazione possono essere classificati sulla base delle seguenti casistiche:
a) “public”: il dato è open, di pubblico dominio o liberamente accessibile. In tal caso l’accesso al dato non richiede l’acquisizione dell’assenso dell’utente da parte dell’AA;
b) “protected”: l’accesso al dato è riservato ai SP che hanno una specifica convenzione con l’AA. In tal caso, per l’accesso non è richiesta l’acquisizione dell’assenso dell’utente da parte dell’AA;
c) “private”: l’accesso al dato è consentito solo previa acquisizione dell’assenso dell’utente da parte dell’AA.
Se fosse così non sarebbe male, la domanda che mi pongo però è: “tutte le PA hanno accesso diretto e immediato ai dati di cui necessitano?” A oggi la risposta è no… In secondo luogo l’attributo del soggetto SPID (una sua qualità o un suo ruolo) difficilmente può essere tanto esteso da pensionare le dichiarazioni sostitutive di certificazione o di atti notori, più probabilmente ridurranno l’ambito per alcune dichiarazioni (es. se io sono dottore commercialista lo SPID professionale lo espliciterà, ma per operare per conto di un cliente dovrò comunque avere una delega; se io sono amministratore unico di una società, esplicitato dallo SPID professionale, potrò evitare di esibire la delibera assembleare o la visura camerale per dimostrare i poteri rappresentativi, ma il resto delle dichiarazioni a carico della società permarranno identiche e io le firmo come le avrei firmate prima). Non credo proprio che ci sarà un sovraccarico di informazioni reperite e trasmesse in sede di autenticazione SPID che creerebbe instabilità di sistema e ritardi di connessione agli ecosistemi di verifica dell’identità digitale: già oggi in caso di molteplici connessioni ci sono lentezze, figuriamoci se invece di trasmettere tre-quattro dati al Service Provider (es. nome, cognome, c.f. numero cellulare) il gestore IdP trasmettesse vita morte e miracoli del soggetto
In tutta sincerità non ho mai capito la logica della scelta governativa/AGiD di prevedere degli attributi di “status” nello SPID, invece di valorizzare la CNS (che sembra ormai in disarmo) che sarebbe la sede naturale per l’integrazione nel microchip degli attributi rafforzati di ruolo/funzione (es. notaio o altro pubblico ufficiale rogante, libero professionista ordinistico intermediario, legale rappresentante dell’ente/persona giuridica…).
In terzo luogo a me preoccupa questa eccessiva disinvoltura su SPID per formalità diverse dall’accesso ad un’area riservata di un sito: in che termini la P.A. che riceve una dichiarazione vincolante per il soggetto da cui promana può dimostrare (anche in giudizio) che tale dichiarazione è stata effettivamente firmata in modo giuridicamente inoppugnabile da lui? Con la firma digitale CaDES, PaDES, XaDES non si scappa, ma con la “firma” SPID o affine? Magari mi sfugge qualcosa…
Non dimentichiamo che dal punto di vista giuridico non esiste solo la Firma Elettronica Qualificata (come la firma digitale) ma anche la Firma Elettronica Semplice [ad esempio quando si scrive con una PEO che ha delle semplici credenziali (username+password)] che pur essendo considerata una “firma debole” non è facile disconoscere davanti a un giudice.
La firma elettronica semplice è soggetta al libero convincimento del giudice però, in quanto ad efficacia probatoria in giudizio (art. 20 comma 1-bis CAD), quindi un po’ deboluccia.
