Meglio SPID, o Username/Password?

@umbros: io credo che sulla proibizione dell’uso di username e password non ci sia una linea, ma una legge.

  • con la modifica all’art. 64, comma 2 del CAD da parte del DL 69/2013 art. 17-ter

Al comma 2 dell’articolo 64 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, dopo il primo periodo e’ inserito il seguente: “Con l’istituzione del sistema SPID di cui al comma 2-bis, le pubbliche amministrazioni possono consentire l’accesso in rete ai propri servizi solo mediante gli strumenti di cui al comma 1 [CNS/CIE], ovvero mediante servizi offerti dal medesimo sistema SPID”

  • e con la successiva abrogazione da parte del DLgs 179/2016

il legislatore ha chiaramente voluto impedire l’accesso ai servizi con username/password.

Queste sono le norme alle quali qualsiasi fornitore della PA (e quindi anche Infocamere!) deve attenersi.

D’altra parte mi pare scorretto e controproducente accreditare a SPID gli accessi a www.impresainungiorno.it, lasciando la possibilità di accesso con User/Password, non si capisce perché un utente dovrebbe usare SPID.

Ciao @emmedi,
si è corretto ma il problema è lo switch off, ovvero, se un’amministrazione già utilizzava la modalità username/password deve attivarsi per lo spegnimento della modalità; Se il giorno 1 in cui mette SPID bloccasse altre modalità di accesso genererebbe un disservizio se non comunica lo spegnimento. Però la linea è corretta, deve essere rispettato il CAD e le amministrazioni devono iniziare a gestire lo switch off ma vale per impresainungiorno come per inps, inail, agenzia delle entrate…

Umberto Rosini
Agenzia per l’Italia Digitale

3 Mi Piace

@umbros: detto tra noi: se tu (utente) avessi l’alternativa tra continuare ad accedere con Usr/Pwd (che già conosci) e procurarti un’identità SPID, quale strada sceglieresti? :wink:

1 Mi Piace

Correttissimo @emmedi ma immagina che ho necessità di fare una pratica urgente e nessuno ha comunicato lo switchoff e mi ritrovo da un giorno all’altro senza poter accedere? Il compito sarà proprio gestire questo passaggio.

Umberto Rosini
Agenzia per l’Italia Digitale

Il fatto è che avete entrambi ragione, la dismissione di una procedura è una cosa estremamente difficile quando in gioco c’è un servizio importante. Quante persone hanno attivato e usato la posta certificata fornita dal governo gratuitamente? Poche, un po’ per pigrizia e un po’ per ignoranza. Se poi, dopo due anni, lo SPID diventa a pagamento e obbligatorio sarà visto come il solito balzello da far pagare alle persone. Domanda, invece di creare la CNS o le diverse CRS, non si poteva fin dall’inizio far accedere ogni servizio tramite la CI nazionale invece di inventare complessi sistemi che a volte non comunicano tra loro? Sarebbe stato tutto più uniforme e centralizzato.

1 Mi Piace

@PaxLex:
la tua domanda ha risposte deprimenti. L’accesso con la CIE ai servizi della PA era previsto nella prima versione del CAD del 2005.
Il primo progetto CIE è stato gestito dall’Università di Tor Vergata, se chiedi informazioni al ministero dell’interno ti rispondono così:

“Il progetto sviluppato dall’Università di Tor Vergata (a tutt’oggi in fase sperimentale) prevedeva l’implementazione dei servizi O.C.S.P. o delle Certificate Revocation Lists (CRL), tuttavia in fase di passaggio di consegne l’ente non ha rilasciato alcuna documentazione in merito. A seguito di un’analisi approfondita dell’infrastruttura presso il CNSD, effettuata dal nostro ufficio per reperire tra le altre anche tali informazioni, purtroppo non abbiamo avuto riscontri in merito. Alla luce di quanto detto, il nostro ufficio ritiene alquanto improbabile l’implementazione di tali servizi, anche in virtù del nuovo progetto CIE in fase di approvazione finale da parte degli organi competenti.”

Vale a dire che l’Università di Tor Vergata, pagata profumatamente dal Ministero dell’Interno per lavorare sul progetto CIE, non ha realizzato una parte fondamentale dell’infrastruttura tecnologica che sta alla base di un documento elettronico!
L’argomento si è guadagnato l’attenzione dell’Autorità Nazionale Anticorruzione che, alla chiusura del fascicolo, ha disposto “l’invio della delibera alla Procura della Corte dei Conti e al Nucleo Polizia Tributaria di Roma, per i profili di competenza”.
Se vuoi approfondire: Il Ministero dell’Interno non ha più la spina dorsale!

Per la nuova CIE si sta attendendo il rilascio delle librerie crittografiche e quindi non si può consentire l’accesso ai servizi telematici. Se vuoi approfondire consulta sul forum CIE e art. 64 del CAD

Quanto meno le CRS/CNS in alcune regioni, come il Friuli, la Lombardia, la Toscana, la Campania e la Puglia, stanno funzionando e possono essere usate come strumenti di autenticazione.

Ciao, la nuova CIE potrà garantire l’accesso ai servizi e per SPID potrà essere utilizzata anche come terzo livello, ma il tema importante è quello dello switch off, sarà compito di AgID e stiamo lavorando in tal senso, quello di fare dei percorsi verso lo spegnimento dei sistemi locali di autenticazione delle PA anche perchè se da un lato è importante SPID perchè facilità l’accesso ai servizi della PA per il cittadino, dall’altra è un risparmio per la PA che non dovrà più gestire sistemi di accesso ma solo di autorizzazione. Quello che posso dire è che questi percorsi di spegnimento li stiamo già avviando con delle grandi e importanti PA a livello nazionale.

Umberto Rosini
Agenzia per l’Italia Digitale

Sarebbe utile sollecitare IPZS per ottenere informazioni attendibili sui tempi di rilascio delle librerie crittografiche, perché dopo il post di giugno (CIE e art. 64 del CAD) non ci hanno più fatto sapere nulla

1 Mi Piace

Beh, allora dobbiamo solo aspettare. @umbros pensi che ci sarà una evoluzione (semplificazione) anche per la intricata operatività di accesso della BDNA? :wink:

Per chi ci legge la BDNA è la Banca Dati Nazionale Antimafia, @PaxLex non ti so riferire su questo ma posso informarmi :slight_smile:

Umberto Rosini
Agenzia per l’Italia Digitale

Credo che l’importante switch-off da user/PW locali a sistemi nazionali sia da gestire delicatamente e con grande attenzione soprattutto alla preventiva comunicazione con il cittadino.

Quello che però attualmente ha poco senso e ritengo quasi ingiusto e dispendioso delle energie spese dalle PA negli ultimi anni per dare credenziali comunque nazionali ai cittadini, è il progressivo abbandono del login con CNS verso SPID only, vedasi l’accesso al bonus cultura o alla carta docente. Tante PA hanno creato un circolo virtuoso anche formativo sull’egov riuscendo a far usare i servizi online ai cittadini attivando uno strumento come la CNS e ora i cittadini si vedono negare l’accesso a servizi tramite lo strumento che posseggono e usano già. Che poi il login tramite CNS/CIE ritorni sotto forma (a pagamento!) come livello 3 di SPID quando la CNS/CIE è già livello 3 di per sè, è alquanto schizofrenico.

Spero perciò che escano presto le librerie per implementare l’accesso anche tramite la nuova CIE (che funziona anche da mobile) per dare al cittadino la maggior possibilità di scelta su che credenziali nazionali usare.

2 Mi Piace

@MatCol,

mi sembra che nell’Art. 64 del CAD (Codice amministrazione digitale) non sia scritto che SPID sostituisce CNS e CIE, bensì che si tratta di tre metodi di accesso alternativi ai servizi erogati in rete dalle pubbliche amministrazioni; in particolare nei commi 2-octies e 2-nonies è indicato quanto segue:

2-octies. Le pubbliche amministrazioni consentono mediante SPID l’accesso ai servizi in rete da esse erogati che richiedono identificazione informatica.

2-nonies. L’accesso di cui al comma 2-octies può avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi.

Saluti.

1 Mi Piace

de facto si va verso una sostituzione con SPID: L’accesso di cui al comma 2-octies PUO’ (ma non deve) avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi, cosa che è successa con bonus cultura ecc.

Il mio post intendeva sollevare il fatto che si dovrebbe lavorare per far in modo che più cittadini possibile utilizzino i servizi online con il metodo di accesso che preferiscono, ma riducendo l’offerta mettendo solo SPID si esclude una parte di cittadini che adesso hanno già credenziali nazionali: perché ridurre la platea di cittadini in possesso di credenziali nazionali quando si può prevedere più modalità di accesso?

2 Mi Piace

Concordo totalmente con @MatCol: le modifiche via via introdotte all’art 64. del CAD hanno progressivamente marginalizzato l’accesso tramite CNS/CIE.
Questo il testo 2013:

  1. La carta d’identità elettronica e la carta nazionale dei servizi costituiscono strumenti per l’accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l’autenticazione informatica.
  2. Le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete da esse erogati che richiedono l’autenticazione informatica anche con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano di accertare l’identità del soggetto che richiede l’accesso. L’accesso con carta d’identità elettronica e carta nazionale dei servizi e’ comunque consentito indipendentemente dalle modalità di accesso predisposte dalle singole amministrazioni.

Questo il testo 2017:

2-octies. Le pubbliche amministrazioni consentono mediante SPID l’accesso ai servizi in rete da esse erogati che richiedono identificazione informatica. 2-nonies. L’accesso di cui al comma 2-octies può avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi.))

È , a mio modo di vedere evidente un disegno volto a indurre l’abbandono della CNS/CIE come strumenti di autenticazione che non tiene conto di una serie di considerazioni:

  • CNS/CIE sono distribuite gratuitamente a tutti i cittadini
  • Oggi il prezzo di un lettore di smart card è in caduta libera e i lettori sono frequentemente integrati nativamente nei PC, nulla si sa di quanto costerà l’identità SPID nel futuro.
  • CNS/CIE possono essere utilizzate per apporre Firme Elettroniche Avanzate
  • CNS/CIE garantiscono un’autenticazione basata su un dispositivo sicuro e certificati
3 Mi Piace

Concordo totalmente con te @emmedi

Inoltre con la nuova CIE, che è NFC, cade anche il pretesto che si doveva fare SPID per l’accesso da mobile per ovviare ai lettori: basterà una app e avvicinare la CIE per loggarsi, gratuitamente.

Ma il fatto che si stiano emettendo le CIE senza aver pronte le librerie crittografiche (CIE e art. 64 del CAD) la dice lunga sull’effettiva volontà di usarle come strumenti di autenticazione. :rage:

1 Mi Piace

Relativamente alle librerie di utilizzo CIE, ti posso garantire che una prima versione (ancora in beta, però utili ad iniziare gli sviluppi) sarà disponibile sicuramente entro fine Ottobre. Ovviamente vi avvertiremo su questo forum non appena verrà pubblicata.

Ciao @Angelo_Rossini ,
confermo quanto detto da @MatCol, il principale sistema di accesso è SPID ed eventualmente CIE e CNS, per il resto, pur occupandomi di SPID dissento dal fatto che si stanno mettendo in secondo piano CIE e CNS che comunque rientrano nel processo SPID più precisamente nel LOA4 (SPID3). Ritengo che come rafforzativi dell’autenticazione SPID, quindi SPID3, siano molto efficaci, un po’ meno in un flusso ordinario e non regge il tema del costo che tende a scendere, un hardware è necessario installarlo e comunque la CIE non è gratis.
Inoltre SPID nella sua naturale evoluzione punterà a sistemi quali fido o comunque a pattern passwordless ed è possibile seguire l’evoluzione stessa delle modalità di autenticazione, cosa diversa da CIE e CNS che comunque hanno il fatto di essere un componente hardware su cui gira tutto. Altro fattore è la leggerezza nell’uso di smartcard, quanti imprenditori hanno dato la propria CNS ai propri commercialisti??? Ultimo punto con SPID è possibile firmare… e parlo di fea e altre modalità più “smart”, con CIE non è possibile (non ha un certificato di firma) e con CNS la modalità è la standard.
Detto questo non deve essere una guerra tra modalità di autenticazione, dobbiamo puntare a fornire servizi utili e semplici al cittadino… l’obiettivo è questo…
I colleghi di IPZS, come preannunciato dal grande @rasky, stanno facendo un ottimo lavoro e presto sarà disponibile il middleware per iniziare a parlare con la carta ;)…

Vi ricordo l’hackaton… spargete la voce!

Umberto Rosini
Agenzia per l’Italia Digitale

Questo non è vero, l’art. 61 delle regole tecniche spiega con chiarezza come apporre e verificare FEA usando CNS/CIE, mentre con SPID stiamo ragionandone solo ora. Dal 2009 i miei clienti presentano istanze alla PA usando la CNS come FEA senza che sia mai nato un contenzioso.

Quello che non va bene è che l’art. 64 del CAD era noto prima dell’emissione delle CIE, non si capisce perchè nel piano di rilascio delle CIE non si sia previsto di rilasciare le librerie contestualmente alla prima distribuzione. Si tratta di un requisito noto in partenza