menu di navigazione del network

Meglio SPID, o Username/Password?


(Marco Deligios) #1

Il portale www.impresainungiorno.gov.it, che fa la parte del leone nel numero di PA aderenti a SPID, dà una lettura un po’ fantasiosa degli artt. 64 e 65 del CAD.
Consente, correttamente l’accesso con CNS e SPID (livello 2) poi, però, permette anche di accedere ai medesimi servizi con Username e Password…
Ora sarebbe interessante sapere:

  • perchè un portale di servizi del MISE consente ancora l’accesso con Username/Password?
  • quanti accessi a www.impresainungiorno.gov.it avvengono con SPID e quanti con Username/Password?

Quando il "digitale" genera difficoltà
(Umberto Rosini) #2

Ciao Marco,
ben risentito, sono arrivate segnalazioni in merito e sono con la linea secondo la quale non dovrebbe esistere un accesso a username e password se già presenti altri oltre SPID. Oltre alla non necessità di un sistema a username/password è anche nel fatto che espone un servizio con livelli di accesso differenti.
Attualmente però, se non il buonsenso, nulla vieta ciò ma sarà una delle attività di ricognizione sui servizi. Certo è che se già esisteva l’accesso a Username/Password non lo si può chiudere dall’oggi al domani ma sarà un’attività di graduale spegnimento.

Riguardo i dati è in corso un’attività sulle statistiche SPID molto ampia e ne parlerò magari al prossimo weekly meeting (settembre).

Grazie per la segnalazione.

Umberto Rosini
Agenzia per l’Italia Digitale


(Marco Deligios) #3

@umbros: io credo che sulla proibizione dell’uso di username e password non ci sia una linea, ma una legge.

  • con la modifica all’art. 64, comma 2 del CAD da parte del DL 69/2013 art. 17-ter

Al comma 2 dell’articolo 64 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, dopo il primo periodo e’ inserito il seguente: “Con l’istituzione del sistema SPID di cui al comma 2-bis, le pubbliche amministrazioni possono consentire l’accesso in rete ai propri servizi solo mediante gli strumenti di cui al comma 1 [CNS/CIE], ovvero mediante servizi offerti dal medesimo sistema SPID”

  • e con la successiva abrogazione da parte del DLgs 179/2016

il legislatore ha chiaramente voluto impedire l’accesso ai servizi con username/password.

Queste sono le norme alle quali qualsiasi fornitore della PA (e quindi anche Infocamere!) deve attenersi.

D’altra parte mi pare scorretto e controproducente accreditare a SPID gli accessi a www.impresainungiorno.it, lasciando la possibilità di accesso con User/Password, non si capisce perché un utente dovrebbe usare SPID.


(Umberto Rosini) #4

Ciao @emmedi,
si è corretto ma il problema è lo switch off, ovvero, se un’amministrazione già utilizzava la modalità username/password deve attivarsi per lo spegnimento della modalità; Se il giorno 1 in cui mette SPID bloccasse altre modalità di accesso genererebbe un disservizio se non comunica lo spegnimento. Però la linea è corretta, deve essere rispettato il CAD e le amministrazioni devono iniziare a gestire lo switch off ma vale per impresainungiorno come per inps, inail, agenzia delle entrate…

Umberto Rosini
Agenzia per l’Italia Digitale


(Marco Deligios) #5

@umbros: detto tra noi: se tu (utente) avessi l’alternativa tra continuare ad accedere con Usr/Pwd (che già conosci) e procurarti un’identità SPID, quale strada sceglieresti? :wink:


(Umberto Rosini) #6

Correttissimo @emmedi ma immagina che ho necessità di fare una pratica urgente e nessuno ha comunicato lo switchoff e mi ritrovo da un giorno all’altro senza poter accedere? Il compito sarà proprio gestire questo passaggio.

Umberto Rosini
Agenzia per l’Italia Digitale


(Paolo Toso) #7

Il fatto è che avete entrambi ragione, la dismissione di una procedura è una cosa estremamente difficile quando in gioco c’è un servizio importante. Quante persone hanno attivato e usato la posta certificata fornita dal governo gratuitamente? Poche, un po’ per pigrizia e un po’ per ignoranza. Se poi, dopo due anni, lo SPID diventa a pagamento e obbligatorio sarà visto come il solito balzello da far pagare alle persone. Domanda, invece di creare la CNS o le diverse CRS, non si poteva fin dall’inizio far accedere ogni servizio tramite la CI nazionale invece di inventare complessi sistemi che a volte non comunicano tra loro? Sarebbe stato tutto più uniforme e centralizzato.


(Marco Deligios) #8

@PaxLex:
la tua domanda ha risposte deprimenti. L’accesso con la CIE ai servizi della PA era previsto nella prima versione del CAD del 2005.
Il primo progetto CIE è stato gestito dall’Università di Tor Vergata, se chiedi informazioni al ministero dell’interno ti rispondono così:

“Il progetto sviluppato dall’Università di Tor Vergata (a tutt’oggi in fase sperimentale) prevedeva l’implementazione dei servizi O.C.S.P. o delle Certificate Revocation Lists (CRL), tuttavia in fase di passaggio di consegne l’ente non ha rilasciato alcuna documentazione in merito. A seguito di un’analisi approfondita dell’infrastruttura presso il CNSD, effettuata dal nostro ufficio per reperire tra le altre anche tali informazioni, purtroppo non abbiamo avuto riscontri in merito. Alla luce di quanto detto, il nostro ufficio ritiene alquanto improbabile l’implementazione di tali servizi, anche in virtù del nuovo progetto CIE in fase di approvazione finale da parte degli organi competenti.”

Vale a dire che l’Università di Tor Vergata, pagata profumatamente dal Ministero dell’Interno per lavorare sul progetto CIE, non ha realizzato una parte fondamentale dell’infrastruttura tecnologica che sta alla base di un documento elettronico!
L’argomento si è guadagnato l’attenzione dell’Autorità Nazionale Anticorruzione che, alla chiusura del fascicolo, ha disposto “l’invio della delibera alla Procura della Corte dei Conti e al Nucleo Polizia Tributaria di Roma, per i profili di competenza”.
Se vuoi approfondire: Il Ministero dell’Interno non ha più la spina dorsale!

Per la nuova CIE si sta attendendo il rilascio delle librerie crittografiche e quindi non si può consentire l’accesso ai servizi telematici. Se vuoi approfondire consulta sul forum CIE e art. 64 del CAD

Quanto meno le CRS/CNS in alcune regioni, come il Friuli, la Lombardia, la Toscana, la Campania e la Puglia, stanno funzionando e possono essere usate come strumenti di autenticazione.


(Umberto Rosini) #9

Ciao, la nuova CIE potrà garantire l’accesso ai servizi e per SPID potrà essere utilizzata anche come terzo livello, ma il tema importante è quello dello switch off, sarà compito di AgID e stiamo lavorando in tal senso, quello di fare dei percorsi verso lo spegnimento dei sistemi locali di autenticazione delle PA anche perchè se da un lato è importante SPID perchè facilità l’accesso ai servizi della PA per il cittadino, dall’altra è un risparmio per la PA che non dovrà più gestire sistemi di accesso ma solo di autorizzazione. Quello che posso dire è che questi percorsi di spegnimento li stiamo già avviando con delle grandi e importanti PA a livello nazionale.

Umberto Rosini
Agenzia per l’Italia Digitale


(Marco Deligios) #10

Sarebbe utile sollecitare IPZS per ottenere informazioni attendibili sui tempi di rilascio delle librerie crittografiche, perché dopo il post di giugno (CIE e art. 64 del CAD) non ci hanno più fatto sapere nulla


(Paolo Toso) #11

Beh, allora dobbiamo solo aspettare. @umbros pensi che ci sarà una evoluzione (semplificazione) anche per la intricata operatività di accesso della BDNA? :wink:


(Umberto Rosini) #12

Per chi ci legge la BDNA è la Banca Dati Nazionale Antimafia, @PaxLex non ti so riferire su questo ma posso informarmi :slight_smile:

Umberto Rosini
Agenzia per l’Italia Digitale


(Matthias Cologna) #13

Credo che l’importante switch-off da user/PW locali a sistemi nazionali sia da gestire delicatamente e con grande attenzione soprattutto alla preventiva comunicazione con il cittadino.

Quello che però attualmente ha poco senso e ritengo quasi ingiusto e dispendioso delle energie spese dalle PA negli ultimi anni per dare credenziali comunque nazionali ai cittadini, è il progressivo abbandono del login con CNS verso SPID only, vedasi l’accesso al bonus cultura o alla carta docente. Tante PA hanno creato un circolo virtuoso anche formativo sull’egov riuscendo a far usare i servizi online ai cittadini attivando uno strumento come la CNS e ora i cittadini si vedono negare l’accesso a servizi tramite lo strumento che posseggono e usano già. Che poi il login tramite CNS/CIE ritorni sotto forma (a pagamento!) come livello 3 di SPID quando la CNS/CIE è già livello 3 di per sè, è alquanto schizofrenico.

Spero perciò che escano presto le librerie per implementare l’accesso anche tramite la nuova CIE (che funziona anche da mobile) per dare al cittadino la maggior possibilità di scelta su che credenziali nazionali usare.


(Angelo Rossini) #14

@MatCol,

mi sembra che nell’Art. 64 del CAD (Codice amministrazione digitale) non sia scritto che SPID sostituisce CNS e CIE, bensì che si tratta di tre metodi di accesso alternativi ai servizi erogati in rete dalle pubbliche amministrazioni; in particolare nei commi 2-octies e 2-nonies è indicato quanto segue:

2-octies. Le pubbliche amministrazioni consentono mediante SPID l’accesso ai servizi in rete da esse erogati che richiedono identificazione informatica.

2-nonies. L’accesso di cui al comma 2-octies può avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi.

Saluti.


(Matthias Cologna) #15

de facto si va verso una sostituzione con SPID: L’accesso di cui al comma 2-octies PUO’ (ma non deve) avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi, cosa che è successa con bonus cultura ecc.

Il mio post intendeva sollevare il fatto che si dovrebbe lavorare per far in modo che più cittadini possibile utilizzino i servizi online con il metodo di accesso che preferiscono, ma riducendo l’offerta mettendo solo SPID si esclude una parte di cittadini che adesso hanno già credenziali nazionali: perché ridurre la platea di cittadini in possesso di credenziali nazionali quando si può prevedere più modalità di accesso?


(Marco Deligios) #16

Concordo totalmente con @MatCol: le modifiche via via introdotte all’art 64. del CAD hanno progressivamente marginalizzato l’accesso tramite CNS/CIE.
Questo il testo 2013:

  1. La carta d’identità elettronica e la carta nazionale dei servizi costituiscono strumenti per l’accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l’autenticazione informatica.
  2. Le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete da esse erogati che richiedono l’autenticazione informatica anche con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano di accertare l’identità del soggetto che richiede l’accesso. L’accesso con carta d’identità elettronica e carta nazionale dei servizi e’ comunque consentito indipendentemente dalle modalità di accesso predisposte dalle singole amministrazioni.

Questo il testo 2017:

2-octies. Le pubbliche amministrazioni consentono mediante SPID l’accesso ai servizi in rete da esse erogati che richiedono identificazione informatica. 2-nonies. L’accesso di cui al comma 2-octies può avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi.))

È , a mio modo di vedere evidente un disegno volto a indurre l’abbandono della CNS/CIE come strumenti di autenticazione che non tiene conto di una serie di considerazioni:

  • CNS/CIE sono distribuite gratuitamente a tutti i cittadini
  • Oggi il prezzo di un lettore di smart card è in caduta libera e i lettori sono frequentemente integrati nativamente nei PC, nulla si sa di quanto costerà l’identità SPID nel futuro.
  • CNS/CIE possono essere utilizzate per apporre Firme Elettroniche Avanzate
  • CNS/CIE garantiscono un’autenticazione basata su un dispositivo sicuro e certificati

(Matthias Cologna) #17

Concordo totalmente con te @emmedi

Inoltre con la nuova CIE, che è NFC, cade anche il pretesto che si doveva fare SPID per l’accesso da mobile per ovviare ai lettori: basterà una app e avvicinare la CIE per loggarsi, gratuitamente.


(Marco Deligios) #18

Ma il fatto che si stiano emettendo le CIE senza aver pronte le librerie crittografiche (CIE e art. 64 del CAD) la dice lunga sull’effettiva volontà di usarle come strumenti di autenticazione. :rage:


(Giovanni Bajo) #19

Relativamente alle librerie di utilizzo CIE, ti posso garantire che una prima versione (ancora in beta, però utili ad iniziare gli sviluppi) sarà disponibile sicuramente entro fine Ottobre. Ovviamente vi avvertiremo su questo forum non appena verrà pubblicata.


(Umberto Rosini) #20

Ciao @Angelo_Rossini ,
confermo quanto detto da @MatCol, il principale sistema di accesso è SPID ed eventualmente CIE e CNS, per il resto, pur occupandomi di SPID dissento dal fatto che si stanno mettendo in secondo piano CIE e CNS che comunque rientrano nel processo SPID più precisamente nel LOA4 (SPID3). Ritengo che come rafforzativi dell’autenticazione SPID, quindi SPID3, siano molto efficaci, un po’ meno in un flusso ordinario e non regge il tema del costo che tende a scendere, un hardware è necessario installarlo e comunque la CIE non è gratis.
Inoltre SPID nella sua naturale evoluzione punterà a sistemi quali fido o comunque a pattern passwordless ed è possibile seguire l’evoluzione stessa delle modalità di autenticazione, cosa diversa da CIE e CNS che comunque hanno il fatto di essere un componente hardware su cui gira tutto. Altro fattore è la leggerezza nell’uso di smartcard, quanti imprenditori hanno dato la propria CNS ai propri commercialisti??? Ultimo punto con SPID è possibile firmare… e parlo di fea e altre modalità più “smart”, con CIE non è possibile (non ha un certificato di firma) e con CNS la modalità è la standard.
Detto questo non deve essere una guerra tra modalità di autenticazione, dobbiamo puntare a fornire servizi utili e semplici al cittadino… l’obiettivo è questo…
I colleghi di IPZS, come preannunciato dal grande @rasky, stanno facendo un ottimo lavoro e presto sarà disponibile il middleware per iniziare a parlare con la carta ;)…

Vi ricordo l’hackaton… spargete la voce!

Umberto Rosini
Agenzia per l’Italia Digitale