Delega completa per identità SPID

Buonasera a tutti,

avrei una domanda sugli aspetti legal/procedurali di SPID che nasce da una realtà a cui assistiamo potenzialmente tutti i giorni noi tecnici.
Al di là dei casi di tutoraggio legale di persone incapaci, molti di noi hanno genitori o nonni parzialmente o del tutto analfabeti informatici, per i quali dopo averli accompagnati personalmente in uffici INPS/AdE a richiedere i diversi PIN si possono gestire col loro assenso (e la loro identità) gli aspetti della vita digitale.

Volevo chiedere se in AgID si è pensato ad un meccanismo molto più trasparente di delega permanente per facilitare questo genere di scenari abilitanti, e soprattutto se sapeste indicarmi tra gli IDP esistenti dove sia possibile richiedere una unica identità per conto di altri soggetti.

Il motivo sta nella gestione delle credenziali. Se io avessi richiesto le credenziali per due genitori e quattro nonni (e sarei particolarmente giovane ad averli tutti e sei), dovrei gestire personalmente il ciclo di vita di sette credenziali compresa la mia. Rinnovo password, rinnovo del contratto, avere a disposizione sette cellulari o avere fisicamente sette carte CNS/CIE. Magari l’IDP che mi da una credenziale su app mobile me lo installo una volta sola (caso di Aruba PEC ad esempio), però sono sempre sette coppie di username/password nelle quali figura che nonno Gigi ha fatto la login quando sono io a farla a nome suo.

Certo, pretendere che una persona possa attivare uno SPID solo ad un numero a se intestato è cosa buona e giusta sotto il profilo squisitamente della sicurezza, ma ripeto che lo scenario che prospetto è praticamente quotidiano.

Non avrebbe più senso che queste persone diversamente informatizzate forniscano a me un’autorizzazione revocabile a loggarmi con la loro identità? In questo modo resterebbe traccia nell’autenticazione che io ho fatto materialmente la login, e se io dovessi smarrire il token potrei bloccare e ripristinare una volta sola l’accesso a sette individui. E non avere sette CNS nel cassetto

Non mi pare che gli IDP esistenti forniscano questo tipo di accesso se non registrando più utenze sotto lo stesso profilo di fatturazione. Detto in altre parole io posso registrare presso il mio IDP un nuovo SPID a nome del papà o della mamma analfabeti informatici, con la loro presenza davanti al PU, e aggiornare il mio bel post-it sul monitor con due nuove password.

Ad oggi AdE/Entratel permette con un’unica credenziale di loggarsi a diversi cassetti fiscali, e Sister a più notai. Tanto per citare un esempio.

Avendo parlato di post it sul monitor… vi ringrazio lasciandovi un fumetto obbligatorio

Questo è un problema che io avevo posto qualche mese fa in questo forum ma nessuno ha saputo dare qualche input al riguardo. Credo che si tratti di un grosso problema perchè un professionista o un familiare che viene delegato a utilizzare una qualsiasi procedura telematica per conto di un delegato deve poterlo fare perchè finora con le procedure cartacee (delega) è sempre stato possibile farlo.
L’agenzia delle entrate lo ha risolto solo per i professionisti (utenti ENTRATEL) nell’ambito delle proprie procedure.
Sarebbe opportuno che un sistema di delega venga previsto DENTRO il sistema SPID. Cioè io (delegato di mio padre) devo poter gestire con una delega TRASPARENTE la procedura per conto di mio padre MA CON IL MIO SPID.

Credo che sia un “bug” del sistema.

Chiedo a @umbros se gentilmente ci puo’ dare qualche news al riguardo.

Stesso caso legato alla possibilità di usufruire di un serie di servizi sanitari evoluti per i quali genitori per conto di figli ovvero adulti per conto di anziani e non solo si ritrovano (o si ritroveranno a breve) quotidianamente in difficoltà.
Nel caso del progetto che sto seguendo per conto della Regione Calabria, tra i tanti servizi utili per il cittadino, per fare un esempio, possiamo citare “Scelta e revoca del MMG/PLS”.
Un servizio immediato che consente di cambiare il proprio medico di medicina generale o scegliere per bimbi e ragazzi comodamente seduti il professionista di interesse.
L’impossibilità di fare affidamento su meccanismi di delega evoluti all’interno del sistema Spid vanifica funzionalità e accessibilita ai servizi digitali descritti.
A titolo di esempio domani in quanto genitore di un neonato, pur in possesso di Spid, mi ritroverei costretto a rivolgermi agli sportelli fisici dell’azienda sanitaria di turno.
Diventa necessario e urgente analizzare i casi descritti anche con riferimento alla creazione di identità digitali per minori oltre che per utenti “poco digitali”.
Laddove fosse possibile gradiremmo una risposta al riguardo.

Grazie come sempre.

La delega ( o come l’ho sempre chiamata “impersonificazione” ) è sicuramente una funzionalità utile ma molto delicata ai fini della privacy / GDPR.

Pongo degli spunti di riflessione:

• non avrebbe più senso parlare di delega in base al servizio? Altrimenti sarebbe una delega in bianco e sotto il profilo giuridico ( a meno che tu non sia il tutore di quella persona) ci vedo molti problemi.
• data la riflessione fatta sopra, non avrebbe più senso che questa funzionalità venga gestita dai vari servizi invece che da dall’IDP? Ovvio ogni servizio potrebbe gestire la delega in modo diverso ma sicuramente nel servizio potrei definire delle regole a grana molto più fine ( es. solo lettura, solamente alcuni dati ecc ecc )
• a conferma del punto precedente è l’argomento minori, ossia esso deve essere indirizzato dall’applicativo e non dal sistema di autenticazione, ad es. quando devi registrare un figlio a scuola, fai login con SPID e registri tuo figlio ( in qualità di genitore).
  Quindi la funzionalità di cambio medico di base dovrebbe riconoscere che hai 1-2-3-… figli a carico e darti la possibilità di cambiare anche il loro medico di base.

Comunque sia, discussione interessante.

per me non è solo una discussione interessante ma è (dal punto di vista pratico) un punto di debolezza dell’attuale Spid.
Se le cose rimangono così l’unica soluzione per chi lavora in questo ambito in modo professionale e sistematico è fare delle forzature antipatiche che si possono fare solo con le smartcard che vengono lasciate (in modo fiduciario) nelle mani dei delegati.
Ma così diventa una ipocrisia generale che va assolutamente affrontata e risolta.

caro @djechelon,

siamo pienamente coscienti di questa problematica.

La soluzione della condivisione delle credenziali della propria identità SPID è vietata dalle regole che si accettano al momento del rilascio, perché mette a rischio i cittadini di vedere compiute azioni a loro nome senza una traccia puntuale di chi ha effettuato una operazione.

Il tema che sollevi si risolve con il meccanismo delle deleghe. Una delega ben realizzata, oltre a dover essere specifica per un servizio, dovrebbe essere tracciata ogni volta che viene utilizzata, permettendo di ricostruire a posteriori esattamente chi ha fatto cosa per conto di chi.

Per poter offrire una delega puntuale, il sistema delle deleghe deve essere implementato dai vari Service Provider, perché sono gli unici che hanno piena comprensione dello scenario in cui andranno ad agire le identità elettroniche e dispongono della granularità sufficiente.
Ad esempio, io potrei voler delegare il mio commercialista alla compilazione del mio 730 online sul sito dell’Agenzia delle Entrate ma non all’accesso alla totalità delle operazioni possibili su quel sito. Oppure, la moglie potrebbe delegare il marito alla lettura dei dati necessari per compilare l’ISEE ma non alla lettura del fascicolo sanitario.

Alla fine, ogni Service Provider che prevede la delega di un servizio consentirà di registrare, all’interno dei propri sistemi, che una persona può fare qualcosa al posto di un’altra, tenendo poi traccia di ogni singola operazione che effettuerà.

Un esempio positivo è rappresentato dal Fascicolo Sanitario Elettronico della Regione Emilia Romagna dove i genitori hanno accesso ai dati sanitari dei figli minorenni e, se sono anziani e hanno i figli già grandi, possono delegare i figli ad operare sul loro fascicolo.

Un servizio centralizzato potrebbe essere comodo per elencare tutte le deleghe impostate da una identità presso i vari Service Provider e semplificarne la gestione, ma l’implementazione non sarebbe banale

È possibile che per poter digitalizzare alcuni tipi di delega sia necessario un lavoro di codifica e standardizzazione e la costruzione di banche dati oggi non esistenti, pensa ad esempio ai provvedimenti della magistratura per la tutela di persone disabili, che oggi sono testi non pensati per poter essere interpretati dal software (c’è spesso bisogno di un giurista umano per capirli) e che al momento non sono raccolti in una base dati nazionale.
In alcuni di questi casi ci vorrà molto tempo prima che la gestione possa essere completamente automatizzata.

L’ecosistema SPID è ancora al suo inizio e sono tante le cose che si potranno fare per renderlo ancora più funzionale e semplice per i cittadini.

per fornire i vostri contributi sul tema posto nel thread andate qui:

https://forum.italia.it/c/documenti-in-consultazione/lg-spid-rilascio-identita-digitale-uso-professionale

In caso di persona capace di intendere e di volere ce decide di delegare qualche specifica azione può funzionare ma nel caso di persona che ha un tutore nominato da un giudice la cosa più semplice e fattibile è che il tutore possa chiedere credenziali a nome di colui per cui agisce. Non ci soo in ogni caso dubbi su chi ha fatto che cosa perché chi è incapace non può nemmeno chiedere SPID

Salve,
riprendo questo topic perché ritengo sia urgente pensare ad un sistema di delega sulla spid. C’è qualche notizia in tal senso?

No. Stranamente nessuno mette in evidenza l’urgenza di trovare una soluzione al riguardo.

Attualmente la soluzione al tema in oggetto non viene sufficientemente preso ancora in considerazione in virtù del fatto che l’utilizzo dello spid è ancora in una fase transitoria.
Per accedere ai siti della pubblica amministrazione esiste ancora l’alternativa nome utente e password e/o codice PIN, forniti con autenticazionediretta, oppure SPID. Sta di fatto che già nel 2020, che non è così lontano, alcune pubbliche amministrazioni adotteranno il solo sistema dello SPID, per autenticare l’utente, come esempio il Comune di Roma, a partire dalla fine di giugno 2020, non accetterà più le “vecchie credenziali”.
E mio personale augurio che per quell’epoca sia stata impostata una linea guida sulle deleghe.
Saluti
Agostino

Buongiorno. Sapete se è stata attivata qualche procedura di delega? La cosa veramente fastidiosa è proprio il fatto che ad esempio se marito o moglie devono operare l’uno per l’altro con la spid ognuno deve chiedere all’altro di farsi dare il codice sms o pin ricevuto sul dispositivo mobile. Ripeto che ad esempio Intesa San Paolo ha attivato la funzione di delega, che risulta molto utile! Penso sia MOLTO urgente farlo anche con la Spid. Non è che tutti i cittadini privati in possesso di Spid possono o vogliono operare in prima persona. E’ pieno di casi di persone che delegherebbero molto volentieri. Quindi che si fa?

Direi che la delega dovrebbe essere relativa al servizio (implementata cioe’ nel servizio online), non all’identità digitale che e’ e deve restare personale.

il caso scoppierà a breve quando spegneranno i PIN delle singole PA …e allora ne vedremo delle belle!!

Poi dovranno necessariamente mettere delle “pezze” facendo delle proroghe e delle modifiche (cioè introdurre la delega)

ART.24 DEL DL SEMPLIFICAZIONI C’È SCRITTO:

a decorrere dal 28 febbraio 2021, i soggetti di cui
all’articolo 2, comma 2, lettera a), utilizzano esclusivamente le
identita’ digitali e la carta di identita’ elettronica ai fini
dell’identificazione dei cittadini che accedono ai propri servizi
on-line. Con decreto del Presidente del Consiglio dei ministri o del
Ministro delegato per l’innovazione tecnologica e la digitalizzazione
e’ stabilita la data a decorrere dalla quale i soggetti di cui
all’articolo 2, comma 2, lettera a), utilizzano esclusivamente le
identita’ digitali per consentire l’accesso delle imprese e dei
professionisti ai propri servizi on-line.";

Sicuramente da febbraio 2021 scoppierà il caos, se non pensano a come far accedere terze persone autorizzate. Concordo però con @frantheman si rischia di appesantire il sistema di identità digitale caricandolo anche di questa sovrastruttura; meglio prevedere un sistema selettivo di autorizzazioni/abilitazioni in capo al singolo sito (e alla P.A. che lo gestisce), come è oggi del resto: amministratore locale/di sistema o responsabile, gestore incaricato, incaricato o operatore, intermediario delegato o non delegato, accesso in proprio; ovviamente si tratta di regolamentare il tipo di accesso surrogatorio/sostitutivo in modo diverso a seconda che si tratti di personale della PA per compiti istituzionali, di intermediari professionisti per conto dei clienti, di familiari, tutori o altri per conto di persona impossibilitata ad operare. Oltretutto io interessato, in modo molto differenziato, potrei voler permettere certi tipi di accesso di certe persone a certi siti e non ad altri, e bisogna stare molto attenti a potenziali abusi (d’altro canto, se la persona autorizzata secondo il suo profilo di abilitazione ha necessità di una sequenza di accessi non deve poter essere limitata da assurdi congegni con la scusa della “privacy” come è già oggi su certi siti, altrimenti con SPID/CIE, che è già più macchinoso, non si lavora più…)

io penso che questo rischio di abusi non esiste perchè TUTTO È’ TRACCIATO e quindi nessuno corre il rischio di fare accessi per conto di altri se non ha apposite autorizzazioni scritte

Il problema si porrà MOLTO prima del 21 febbraio 2021, perchè dal 1 ottobre INPS spegnerà il PIN e ci sarà solo SPID. Il che metterà in drammatica difficoltà milioni di persone e chi le gestisce (penso anche solo agli uffici pubblici che stanno preparando le pensioni di migliaia di colleghi che se ne stanno andando e che per consultare la loro posizione contributiva si facevano lasciare il PIN).
Io personalmente ho in casa più anziani da seguire che smartphone disponibili, e non so come ne uscirò anche solo per procurarmi la loro CU.
@Valerio_Paolini la delega legata alla funzione andrebbe bene se per rilasciarla non servisse SPID. Mi spiego: zia 90enne con cellulare Nokia archeologico, ammesso che INPS abbia la funzione delega, come mi delega se prima non si fa una identità digitale? E come se la fa senza CNS o smartphone?

Concordo perfettamente, è probabilissimo che si bloccherà tutto già prima di fine anno, o perché l’identità digitale (parliamo di SPID, ma le problematiche ci sono anche dell’usabilità nel mondo reale anche per CNS e CIE) non è ancora stata rilasciata all’utente oppure perché l’utente poco informatizzato non sa / non vuole usarlo. Resto dell’idea che, fermo restando l’assoluta certezza e sicurezza nella fase di rilascio (imprescindibile che sia verificata con assoluta cura l’identità), la fase di uso deve invece essere semplificata, altrimenti un sistema ingessato come il nostro non decollerà: gli uffici pubblici avranno grossi disservizi, i professionisti non riusciranno a gestire i clienti, gli anziani/profani verranno esclusi dai servizi pubblici … uno scenari che trovo disgustoso e inquietante…

Alimento un po’ la polemica
Non e’ pero’ tutta colpa del centro.
E’ da un po’ che gli accessi dovrebbero avvenire solo con strumenti unici nazionali (CIE, CNS, SPID) e tutte le amministrazioni hanno comunque preferito mantenere le credenziali locali perche’ sono piu’ facili, “perche’ SPID non ce l’ha nessuno”.
Si e’ sempre saputo che le credenziali di accesso e ancora di piu’ le identità digitali sono personali e non vanno materialmente messe in mano d’altri, per tutta una serie di motivi. Eppure nessun erogatore di servizi online si e’ mai posto seriamente il problema della delega: “tanto chi ha bisogno dà utente e password al delegato, che vuoi che succeda”. Poi ci siamo accorti che mettere in mano altrui una CNS, una CIE o SPID è un po’ troppo, e’ in pratica una procura generale (senza procuratore apparente per di piu’)…

Io confido nella fantasia italica che torverà un modo per aggirare anche questo impedimento. Probabilmente la creatività è già al lavoro, del resto sono diversi mesi che quando un pensionato entra all’inps col pin gli viene detto di farsi SPID…

Vero, ma io mi chiedo se in alto sanno che avere a che fare con gli anziani è molto più delicato che avere a che fare con analfabeti digitali semplicemente adulti. Tantissimi anziani sono persone SOLE. Tantissimi sono POVERI e uno smartphone sarebbe un inutile costo in più. Come faranno? C’è il rischio di esclusione dai servizi di una enorme fascia di popolazione.
Per dire, l’altro giorno all’ufficio postale ero in fila con altre 20 persone, di cui almeno 15 over-80. FUORI dall’ufficio postale, al sole di luglio. Dopo mezzora, arriva una ragazzetta ventenne, smartphone in mano, salta la fila ed entra. Due minuti dopo esce sogghignando in faccia ai pirla che si facevano la fila mentre lei smart e gggiovane usava bene il suo tempo (io gliene ho dette quattro ma ammetto che avevo provato anch’io a prenotare… solo che l’app non funzionava).
Non avete idea delle facce dei vecchietti. Si sono sentiti umiliati e trascurati, lasciati indietro proprio quando hanno più bisogno (che stare in fila al sole in piedi in piena estate non fa molto bene alla salute). Invece, con la tecnologia vengono superati da chi ha più tempo e salute.