[LG -SPID Uso Professionale] Articolo 4: Attributo uso professionale

Contenuto
Articolo 4: Attributo uso professionale

Collegamento
https://lg-spid-rilascio-identita-digitale-uso-professionale.readthedocs.io/it/latest/contents/articolo-4.html

L’attributo oggetto del presente articolo consente ai fornitori di servizi SPID di regolare l’accesso ai servizi dedicati a professionisti e a persone giuridiche.

I servizi possono essere:
aperti alla cittadinanza
Aperti solo ad alcune categorie di utenti
con approccio misto di cui sopra.

Portando ad esempio la presentazione di CILA di cui ad altro commento, il servizio è dedicato sia a professionisti che persone giuridche che privati cittadini.

Quindi è opportuno dare una linea guida operativa per questi casi: infatti il presupposto implicito che traspare è che i servizi siano distinguibili in due categorie:
1)servizi dedicati ai soli a professionisti e a persone giuridiche
2)servizi NON dedicati ai soli professionisti e a persone giuridiche

può essere utile definire in modo migliore gli scenari.

inoltre il comma è in parziale difformità con l’articolo 1 nel quale è citato “altro elenco qualificato” qui non riportato

Sarebbe opportuno definire una linea guida per i gestori dei servizi in relazione al nuovo scenario di identitĂ  digitali che viene delineato.
Il gestore di servizio SPID dovrebbe autorizzare l’accesso ai propri servizi rivolti ad un uso professionale esclusivamente alle identità digitali per uso professionale di persone fisiche o giuridiche e non quelle di persone fisiche.

Come si individua un servizio “rivolti ad un uso professionale”?
Faccio un esempio pratico: presentazione della attestazione di prestazione energetica.
Può essere fatta da:

*committente (quindi un privato cittadino o un amministratore di condominio)
*conoscente (figli/parenti/amici) del committente che si presta alla trasmissione
*un professionista

quindi il presupposto che si possa qualificare un generico servizio come “ad uso professionale” viene meno.

A nostro avviso:

  1. privato cittadino: per sè stesso, non è un uso professionale, può usare una ID per persona fisica. In questa casistica potrebbe ricadere il caso per amici/figli/parenti ma sempre per uso privato (non professionale).
  2. amministratore di condominio: è un uso professionale e dovrebbe usare una ID per uso professionale per PF.
  3. professionista: è un uso professionale e dovrebbe usare una ID per uso professionale per PF.
    Se, come suggerito, il servizio può essere lo stesso è necessario allora regolare l’accesso in base alla categoria del utilizzatore.

E come si [quote=“gtovo, post:5, topic:3667”]
Se, come suggerito, il servizio può essere lo stesso è necessario allora regolare l’accesso in base alla categoria del utilizzatore.
[/quote]
E’ palese che non è possibile distinguere il caso del privato cittadino “amico” da quello del privato cittadino “uso professionale”

Altra cosa sarebbe limitarsi ai soli casi di ordine professionale.

L’identità digitale uso professionale contiene l’attributo identityPurpose con codice P.

Le casistiche descritte sono 2:
-un soggetto che opera per conto di un soggetto giuridico
-un soggetto che opera in virtù di una qualifica professionale (ALBO o altro elenco qualificato, dove altro elenco qualificato però è definizione ambigua)

Se la finalità è quella di “pre-qualificare” l’utente (pur facendo rimanere la necessità della verifica preso fornitori di attributi qualificati ) allora è il fornitore di servizi dovrà individuare quale sia il fornitore di attributi da utilizzare, quindi si propone di declinare l’attributo in questione (o altri attributi) in modo da fornire una indicazione su quale AA deve essere interrogata dal fornitore dei servizi.

Esempio:
identityPurpose == “codice per uso professionale albo archittetti”
identityPurpose == “codice per uso professionale rappresentante di ente pubbico”

In questo modo l’SP potrà

  1. evitare di richiedere all’utente quale AA interrogare
  2. evitare di interrogare tutte le AA
    3)in caso di servizi rivolti solo a soggetti giuridici ovvero a specifici albi, negare l’accesso all’utente senza bisogno di interrogare l’AA

Tutto questo con risparmio di tempo per l’utente (che non attende la risposta della/e AA) e di carico di lavoro non utile per SP ed AA.

1 Mi Piace

Va tenuto in conto che i Service Providerpotranno accettare comunque oltre alle credenziali SPID anche la CIE e la CNS come meccanismo di accesso ai servizi della categoria professionale. Questa personalizzazione impone agli SP di trattare le utenze che arrivano attraverso SPID con un processo di profilazione diverso (per effetto della gestione dell’attributo P) rispetto agli altri canali di autenticazione (per cui l’attributo P non è presente e non potrà esserlo).
Questo aspetto non è irrilevante dal punto di vista di chi eroga un servizio perchè comporta un aggravio degli oneri gestionali e di sviluppo.

In effetti non tutti i servizi permettono una distinzione a monte da parte dell’SP sul fatto che l’utilizzatore sia un privato cittadino o un professionista. Se prendiamo ad esempio le pratiche edilizie, questo servizio è accessibile dal medesimo punto di accesso per i professionisti (presentazione pratica ad uso professionale) o per i cittanidi (verifica avanzamento pratica o presentazione pratica ad uso privato).
In questo caso l’unico modo per discriminare è quello di lasciare all’utente la possibilità di scegliere all’atto dell’accesso se opererà come Cittadino o come Professionista.

Con riguardo all’indicazione che “Resta in carico ai fornitori dei servizi SPID la definizione del livello di autorizzazione associato alla persona fisica risultante dall’identità digitale uso professionale”, non si correrebbe così il rischio di significative differenze fra i privati, i quali si troverebbero a ricevere differenti livelli di autorizzazione ma per stessi servizi?