menu di navigazione del network

Delega completa per identità SPID


(/usr/Local/ΕΨΗΕΛΩΝ) #1

Buonasera a tutti,

avrei una domanda sugli aspetti legal/procedurali di SPID che nasce da una realtà a cui assistiamo potenzialmente tutti i giorni noi tecnici.
Al di là dei casi di tutoraggio legale di persone incapaci, molti di noi hanno genitori o nonni parzialmente o del tutto analfabeti informatici, per i quali dopo averli accompagnati personalmente in uffici INPS/AdE a richiedere i diversi PIN si possono gestire col loro assenso (e la loro identità) gli aspetti della vita digitale.

Volevo chiedere se in AgID si è pensato ad un meccanismo molto più trasparente di delega permanente per facilitare questo genere di scenari abilitanti, e soprattutto se sapeste indicarmi tra gli IDP esistenti dove sia possibile richiedere una unica identità per conto di altri soggetti.

Il motivo sta nella gestione delle credenziali. Se io avessi richiesto le credenziali per due genitori e quattro nonni (e sarei particolarmente giovane ad averli tutti e sei), dovrei gestire personalmente il ciclo di vita di sette credenziali compresa la mia. Rinnovo password, rinnovo del contratto, avere a disposizione sette cellulari o avere fisicamente sette carte CNS/CIE. Magari l’IDP che mi da una credenziale su app mobile me lo installo una volta sola (caso di Aruba PEC ad esempio), però sono sempre sette coppie di username/password nelle quali figura che nonno Gigi ha fatto la login quando sono io a farla a nome suo.

Certo, pretendere che una persona possa attivare uno SPID solo ad un numero a se intestato è cosa buona e giusta sotto il profilo squisitamente della sicurezza, ma ripeto che lo scenario che prospetto è praticamente quotidiano.

Non avrebbe più senso che queste persone diversamente informatizzate forniscano a me un’autorizzazione revocabile a loggarmi con la loro identità? In questo modo resterebbe traccia nell’autenticazione che io ho fatto materialmente la login, e se io dovessi smarrire il token potrei bloccare e ripristinare una volta sola l’accesso a sette individui. E non avere sette CNS nel cassetto :slight_smile:

Non mi pare che gli IDP esistenti forniscano questo tipo di accesso se non registrando più utenze sotto lo stesso profilo di fatturazione. Detto in altre parole io posso registrare presso il mio IDP un nuovo SPID a nome del papà o della mamma analfabeti informatici, con la loro presenza davanti al PU, e aggiornare il mio bel post-it sul monitor con due nuove password.

Ad oggi AdE/Entratel permette con un’unica credenziale di loggarsi a diversi cassetti fiscali, e Sister a più notai. Tanto per citare un esempio.

Avendo parlato di post it sul monitor… vi ringrazio lasciandovi un fumetto obbligatorio :slight_smile:


(Paolo Del Romano) #2

Questo è un problema che io avevo posto qualche mese fa in questo forum ma nessuno ha saputo dare qualche input al riguardo. Credo che si tratti di un grosso problema perchè un professionista o un familiare che viene delegato a utilizzare una qualsiasi procedura telematica per conto di un delegato deve poterlo fare perchè finora con le procedure cartacee (delega) è sempre stato possibile farlo.
L’agenzia delle entrate lo ha risolto solo per i professionisti (utenti ENTRATEL) nell’ambito delle proprie procedure.
Sarebbe opportuno che un sistema di delega venga previsto DENTRO il sistema SPID. Cioè io (delegato di mio padre) devo poter gestire con una delega TRASPARENTE la procedura per conto di mio padre MA CON IL MIO SPID.

Credo che sia un “bug” del sistema.

Chiedo a @umbros se gentilmente ci puo’ dare qualche news al riguardo.


SPID obbligatorio avere APP su proprio cell
(Massimiliano Perri) #3

Stesso caso legato alla possibilità di usufruire di un serie di servizi sanitari evoluti per i quali genitori per conto di figli ovvero adulti per conto di anziani e non solo si ritrovano (o si ritroveranno a breve) quotidianamente in difficoltà.
Nel caso del progetto che sto seguendo per conto della Regione Calabria, tra i tanti servizi utili per il cittadino, per fare un esempio, possiamo citare “Scelta e revoca del MMG/PLS”.
Un servizio immediato che consente di cambiare il proprio medico di medicina generale o scegliere per bimbi e ragazzi comodamente seduti il professionista di interesse.
L’impossibilità di fare affidamento su meccanismi di delega evoluti all’interno del sistema Spid vanifica funzionalità e accessibilita ai servizi digitali descritti.
A titolo di esempio domani in quanto genitore di un neonato, pur in possesso di Spid, mi ritroverei costretto a rivolgermi agli sportelli fisici dell’azienda sanitaria di turno.
Diventa necessario e urgente analizzare i casi descritti anche con riferimento alla creazione di identità digitali per minori oltre che per utenti “poco digitali”.
Laddove fosse possibile gradiremmo una risposta al riguardo.

Grazie come sempre.


(Andrea Catalano) #4

La delega ( o come l’ho sempre chiamata “impersonificazione” ) è sicuramente una funzionalità utile ma molto delicata ai fini della privacy / GDPR.

Pongo degli spunti di riflessione:

  • non avrebbe più senso parlare di delega in base al servizio? Altrimenti sarebbe una delega in bianco e sotto il profilo giuridico ( a meno che tu non sia il tutore di quella persona) ci vedo molti problemi.
  • data la riflessione fatta sopra, non avrebbe più senso che questa funzionalità venga gestita dai vari servizi invece che da dall’IDP? Ovvio ogni servizio potrebbe gestire la delega in modo diverso ma sicuramente nel servizio potrei definire delle regole a grana molto più fine ( es. solo lettura, solamente alcuni dati ecc ecc )
  • a conferma del punto precedente è l’argomento minori, ossia esso deve essere indirizzato dall’applicativo e non dal sistema di autenticazione, ad es. quando devi registrare un figlio a scuola, fai login con SPID e registri tuo figlio ( in qualità di genitore).
    Quindi la funzionalità di cambio medico di base dovrebbe riconoscere che hai 1-2-3-… figli a carico e darti la possibilità di cambiare anche il loro medico di base.

Comunque sia, discussione interessante.


SPID obbligatorio avere APP su proprio cell
(Paolo Del Romano) #5

per me non è solo una discussione interessante ma è (dal punto di vista pratico) un punto di debolezza dell’attuale Spid.
Se le cose rimangono così l’unica soluzione per chi lavora in questo ambito in modo professionale e sistematico è fare delle forzature antipatiche che si possono fare solo con le smartcard che vengono lasciate (in modo fiduciario) nelle mani dei delegati.
Ma così diventa una ipocrisia generale che va assolutamente affrontata e risolta.


(Valerio Paolini) #6

caro @djechelon,

siamo pienamente coscienti di questa problematica.

La soluzione della condivisione delle credenziali della propria identità SPID è vietata dalle regole che si accettano al momento del rilascio, perché mette a rischio i cittadini di vedere compiute azioni a loro nome senza una traccia puntuale di chi ha effettuato una operazione.

Il tema che sollevi si risolve con il meccanismo delle deleghe. Una delega ben realizzata, oltre a dover essere specifica per un servizio, dovrebbe essere tracciata ogni volta che viene utilizzata, permettendo di ricostruire a posteriori esattamente chi ha fatto cosa per conto di chi.

Per poter offrire una delega puntuale, il sistema delle deleghe deve essere implementato dai vari Service Provider, perché sono gli unici che hanno piena comprensione dello scenario in cui andranno ad agire le identità elettroniche e dispongono della granularità sufficiente.
Ad esempio, io potrei voler delegare il mio commercialista alla compilazione del mio 730 online sul sito dell’Agenzia delle Entrate ma non all’accesso alla totalità delle operazioni possibili su quel sito. Oppure, la moglie potrebbe delegare il marito alla lettura dei dati necessari per compilare l’ISEE ma non alla lettura del fascicolo sanitario.

Alla fine, ogni Service Provider che prevede la delega di un servizio consentirà di registrare, all’interno dei propri sistemi, che una persona può fare qualcosa al posto di un’altra, tenendo poi traccia di ogni singola operazione che effettuerà.

Un esempio positivo è rappresentato dal Fascicolo Sanitario Elettronico della Regione Emilia Romagna dove i genitori hanno accesso ai dati sanitari dei figli minorenni e, se sono anziani e hanno i figli già grandi, possono delegare i figli ad operare sul loro fascicolo.

Un servizio centralizzato potrebbe essere comodo per elencare tutte le deleghe impostate da una identità presso i vari Service Provider e semplificarne la gestione, ma l’implementazione non sarebbe banale

È possibile che per poter digitalizzare alcuni tipi di delega sia necessario un lavoro di codifica e standardizzazione e la costruzione di banche dati oggi non esistenti, pensa ad esempio ai provvedimenti della magistratura per la tutela di persone disabili, che oggi sono testi non pensati per poter essere interpretati dal software (c’è spesso bisogno di un giurista umano per capirli) e che al momento non sono raccolti in una base dati nazionale.
In alcuni di questi casi ci vorrà molto tempo prima che la gestione possa essere completamente automatizzata.

L’ecosistema SPID è ancora al suo inizio e sono tante le cose che si potranno fare per renderlo ancora più funzionale e semplice per i cittadini.


(Paolo Del Romano) #7

per fornire i vostri contributi sul tema posto nel thread andate qui:

https://forum.italia.it/c/documenti-in-consultazione/lg-spid-rilascio-identita-digitale-uso-professionale


(Andrea Caccia) #8

In caso di persona capace di intendere e di volere ce decide di delegare qualche specifica azione può funzionare ma nel caso di persona che ha un tutore nominato da un giudice la cosa più semplice e fattibile è che il tutore possa chiedere credenziali a nome di colui per cui agisce. Non ci soo in ogni caso dubbi su chi ha fatto che cosa perché chi è incapace non può nemmeno chiedere SPID