Obbligo SPID 28 febbraio 2021

A partire dal 28 febbraio 2021 non sarà più possibile per le pubbliche amministrazioni rilasciare credenziali diverse da SPID per l’identificazione dei cittadini che accedono ai propri servizi in rete.

L’obbligo vale strettamente per i servizi offerti direttamente da un’amministrazione, ad esempio attraverso il proprio sito internet, oppure anche per siti di società private che offrono servizi per i cittadini di cui può servirsi una PA?

Esistono ad ogni modo delle casistiche non rientranti nella definizione dell’art. 64 del CAD per cui non si è tenuti ad abolire delle credenziali diverse da SPID?

Infine, l’obbligo riguarda solo servizi verso l’utenza esterna o anche per servizi usati internamente all’amministrazione? chiedo perché ho letto interpretazioni del genere ma sulla normativa non mi pare di trovare riscontro.

Ringrazio anticipatamente.
Gabriele

Molto interessante l’ultima domanda, spero che qualcuno che già si sta occupando della questione siti web tipo @frantheman o @Lazlu o @giuliamacchi ci dica come interpreta la questione. Se poi ci legge qualcuno del @TeamDigitale ancora meglio.
Sulla prima, potresti fare un esempio?

L’art. 64, comma 3-bis, 2° periodo, D.Lgs. 82/2006 (C.A.D.), nella sua formulazione vigente, stabilisce: “Fatto salvo quanto previsto dal comma 2-nonies (CNS), a decorrere dal 28 febbraio 2021, i soggetti di cui all’articolo 2, comma 2, lettera a) (PP.AA.), utilizzano esclusivamente le identità digitali e la carta di identità elettronica ai fini dell’identificazione dei cittadini (in accezione ampia intesi come soggetti giuridici) che accedono ai propri servizi in rete.”" Non si fa alcuna differenza tra utenza privata per scopi personali o professionali e utenza pubblica per ragioni d’ufficio; certo è che finché non sarà risolto il problema della delega del dirigente/funzionario al personale dipendente, unito al fatto che le PP.AA. centrali persistono nella pessima idea di concedere spesso un numero limitato di utenze abilitate ed al fatto che sono spesso implementate regole privacy astruse (controlli accessi stringenti, timeout) non aiuta a considerare positivamente il passaggio a SPID esclusivo per l’esercizio di funzioni istituzionali della P.A., ma sembra che nessuno dei decisori voglia realisticamente vedere queste criticità (a tal proposito devo dire che diverse PP.AA. centrali, sebbene abbiano sovente già attivato accessi via CIE, SPID e CNS per l’utenza privata, non hanno ancora fatto lo stesso per il settore pubblico, ma suppongo che purtroppo in corso d’anno si adegueranno…).

Per quanto riguarda soggetti diversi dalla P.A. a cui si applica il C.A.D. (vedi lett. B e C art. 2, comma 2: gestori di servizi pubblici e società a controllo pubblico) si demanda ad un decreto del Presidente del Consiglio o del Ministro delegato la decorrenza dell’esclusività di SPID e affini. Se la società privata di cui parli gestisce servizi in proprio e non rientra nelle due categorie precedenti ha facoltà e non obbligo di far accedere ai propri servizi con SPID.

io penso (ma è solo una mia misera opinione) e spero ( se no siamo nei guai in molti) che l’obbligo sia relativo solo ai servizi per il cittadino, perchè lo SPID è uno strumento rivolto appunto alla cittadinanza; devo anche dire che in tutte le varie riunioni a cui ho partcipato e corsi di aggiornamento anche recenti ad esempio con l’avv. Belisario, ho sentito parlare dell’ipotesi non del tutto stupida di sfruttare SPID anche per le autenticazioni sui servizi interni alle PA, ma come eventuale POSSIBILITA’ e mai come obbligo.
Invece sui servizi rivolti ai cittadini di società esterne ho qualche dubbio in più… a grandi linee, secondo me se si tratta di un servizio comunale APPALTATO ad una ditta esterna l’obbligo sussiste, pur di difficile attuazione se non è stato previsto al momento dell’appalto… la ditta esterna potrebbe anche chiedere una cifra per l’adeguamento.
Anche se in realtà se ne avvantaggrerebbe per tutta una serie di motivi, primo fra i quali non dover gestire un sistema di credenziali con tutte le responsabilità che ne conseguono in seguito al GDPR…

In effetti questo forum è un esempio di servizio che non utilizza SPID… ma non saprei dove trovare la definizione formale di casistiche di servizi che possono utilizzare credenziali altre da SPID, qualcuno ha idee?

@giuliamacchi per fare un esempio che conosco, un portale che dall’inizio permette l’accesso agli Enti solo con SPID o CNS è il portale “atti depositati” di Infocamere, per l’iter delle notifiche di cui all’art. 60, comma 7, DPR 600/1973.

Magari ho capito male la tua domanda, ma a oggi (a parte il caso che scrivo sopra) a quanto ne so quasi tutte le banche-dati pubbliche ad accesso riservato prevedono tuttora l’accesso con credenziali tradizionali (username, password, pincode).

Grazie infinite a tutti per le risposte.

Il servizio a cui mi riferisco è un servizio di una società privata, che gestisce servizi in proprio e di cui ne usufruiscono sia privati che PPAA. Si tratta di una piattaforma di interfaccia tra utenti/cittadini e aziende/imprese/PPAA.
Sia gli utenti/cittadini che gli operatori degli enti che usufruiscono del servizio si registrano sulla piattaforma con delle credenziali tradizionali.

Il dubbio era se considerare il servizio un servizio prestato dalla società privata all’amministrazione oppure un servizio offerto dall’amministrazione alla cittadinanza per il tramite della società privata, anche se comunque non un servizio “proprio” dell’amministrazione.

Effettivamente questo sito mi sembra un esempio molto calzante ed in generale mi pare di capire che non dovrebbe sussistere l’obbligo di implementazione dello SPID.

L’obbligo è solamente per le Pubbliche Amministrazioni e i Gestori di pubblici servizi riportati nell’Indice delle Pubbliche Amministrazioni (IPA) gestito dall’Agenzia per l’Italia Digitale.
Le società private sono invitate ad adottare SPID per semplificare l’autenticazione dei cittadini a servizi digitali di qualsiasi tipologia

Mi è chiara la distinzione: obbligo di usare SPID per le PA (compresi privati concessionari di servizi pubblici), opportunità di usare SPID per i privati.

Restando nel caso PA, ci sono servizi web per cui non è obbligatorio usare SPID e, se si, quali?
Ad esempio: questo forum non usa SPID. E’ perchè non ricade nella casistica di “servizi per i cittadini” oppure è una violazione del CAD?

Secondo me è perchè 1) i termini non sono ancora scaduti (non siamo al 28) 2) il team è sommerso di problemi su cashback e lotteria scontrini. Se ne occuperanno il 27 sera, mi sa.

Buongiorno

mi accodo alle richieste già fatte per capire meglio l’obbligatorietà di spid.

Se gestisco un applicazione per una pubblica amministrazioni e mi chiedono di far accedere gli utenti esterni con SPID, per me è un obbligo oppure no?
grazie

“per una pubblica amministrazione” è un pò generico, ma detta così per me è SI’. SPID e pure CIE.

Questo forum non utilizza SPID ma non ha necessità di identificarti con certezza. Tant’è che possiamo usare pseudonimi, email farlocche e quant’altro.

L’utilizzo di SPID è finalizzato all’identificazione digitale (con diversi livelli di certezza) del soggetto che utilizza un servizio, ove questo è associato ad un procedimento amministrativo della PA.

Questo personalmente mi trova d’accordissimo.
Ma dal punto di visto normativo dove lo si può desumere?

Il DL Semplificazione dice che le PA non possono usare altro che SPID (e CIE e CNS) per “l’identificazione e l’accesso dei cittadini ai propri servizi in rete”.
Dove si trova la definizione normativa di “servizi in rete” che esclude i forum e altri servizi non collegati a procedimenti?

Anche “gestisco” e’ parecchhio generico.
La letteratura tende molto a semplificare, ma ci sono situazioni in cui non e’ chiaro se lo specialista ICT esterno stia fornendo un servizio all’amministrazione usando propria dotazione software (metti il caso che io pa comunale ti affido il servizio di riscossione del suolo pubblico), se stia fornendo un software con cui l’amministrazione fa qualcosa (io software house vendo a te pa comunale il software per gestire il suolo pubblico e te lo installo sul tuo server e ti faccio assistenza), se stia fornendo il software come servizio (SaaS), cioe’ io software house ti lascio aperto un software installato da me e utilizzabile da piu’ p.a. insieme ciascuna delle quali puo’ fare piccole personalizzazioni. Ci sono poi le soluzioni ibride, in cui c’e’ il SaaS e la software house fa anche parte del lavoro (tipo verifica formale di documentazione ricevuta) e lascia poi acceso al software alla p.a.

Non penso nemmeno che entri in gioco la necessità di identificare con certezza, altrimenti si rientra in un regime discrezionale dal quale non si esce piu’. Mi pare che la legge dica: se un servizio online reso dalla p.a. richiede autenticazione questa deve avvenire con SPID/CIE/CNS, a prescindere dall’importanza del servizio o da valutazioni se sia necessario identificare l’utente. Fra l’altro se non e’ importante identificare l’utente tanto vale non farlo autenticare e inventarsi altro.

In effetti il concetto di “servizi in rete” è vago. Questo forum ha il requisito soggettivo di essere messo a disposizione da un soggetto pubblico, richiede autenticazione… se fosse anche “servizio” SPID sarebbe obbligatorio (a parte che forse la Presidenza del Consiglio dei ministri a memoria - non è del tutto sottoposta al CAD).

PS: tornando alla domanda di jonny_piva, se per lui software house e’ obbligatorio imnplementare SPID: direi che per un operatore economico è obbligatorio fare cio’ che richiede il committente, no?

Quanto ai servizi non esiste, e non c’è differenza. Il CAD infatti definisce un “servizio in rete o on-line: qualsiasi servizio di una amministrazione pubblica fruibile a distanza per via elettronica”.

Ma la chiave è considerare l’identificazione informatica una cosa differente dall’autenticazione.

Sappiamo che le norme non possono essere omnicomprensive, vanno interpretate prendendole nella loro interezza, partendo dai principi, e non basandosi solo su un articolo.

Innanzitutto il CAD dice che le PA "agiscono utilizzando con le modalità più appropriate e nel modo più adeguato al soddisfacimento degli interessi degli utenti le tecnologie dell’informazione e della comunicazione". Ora, pretendere l’uso di SPID per un forum le sembra adeguato e che vada incontro al soddisfacimento degli interessi degli utenti? Secondo me no, gli utenti sarebbero i primi a lamentarsi. E vorrei anche vedere la questione spreco di denaro pubblico.

Infatti, SPID è finalizzato alla “identificazione informatica” cioé all’associazione biunivoca tra identità digitale (ai sensi del CAD) e utente (reale).

(CAD art. 64 comma 3-bis “utilizzano esclusivamente le identità digitali ai fini dell’identificazione degli utenti dei propri servizi on-line”)
(CAD art. 64 comma 2-quater) “L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID”)

In questo senso, perciò, mi sentirei decisamente tranquillo a sostenere che se la necessità di identificare con certezza il cittadino non c’è, ma solo di autenticarlo, si possa anche fare a meno di SPID.

A me sembra abbastanza solida questa interpretazione. In effetti la normativa fa riferimento specificatamente all’identificazione.

Un discrimine pratico potrebbe essere che SPID va utilizzato per quei servizi per cui sarebbe necessaria la presentazione di un’istanza corredata da documento di riconoscimento.

Non sono assolutamente d’accordo.
Premesso che trovo spid una innovazione di cui non si sentiva per nulla il bisogno, penso che utilizzando la sua interpretazione i siti dovrebbero discriminare nell’accesso a seconda dell’operazione che l’utente va a fare.
Per le cose che richiedono un documento di riconoscimento servirebbe SPID e per il resto potrebbero non usare SPID. Ad esempio: INAIL per alcune cose spid (es denuncia infortunio) e altre no (es. richiesta durc); il sito INPS per alcune cose sì ed altre no; gli enti locali per alcune cose sì ed altre no. Ma come fanno a sapere cosa vado a fare? Prima chiedo il servizio poi mi autentico? E se cambio servizio mi ri-autentico?
Per me diventa una complicazione inutile, tenere su un sistema di doppia autenticazione. SPID ovunque e non se ne parli più. Una volta che spid sarà generallizzata, non sarà un problema usarla anche per un forum.

Verissimo, ma spesso “il legislatore” si confonde, come nel caso del dl semplificazioni citato poco sopra, che parla di “accesso”