Direi che per i siti che offrono esclusivamente servizi per cui non serve SPID, implementare SPID per il momento potrebbe essere una misura sproporzionata.
Sicuramente anche secondo me in futuro potrà non essere un problema, in vista di una maggiore diffusione del sistema.
Per i siti che offrono diversi tipi di servizi potrebbe convenire utilizzare SPID per tutto.
Oppure, mi viene da pensare ai siti delle banche o Poste.it ad esempio. Si può accedere con un profilo generico e poi per i servizi che lo richiedono effettuare un’ulteriore identificazione. Nel senso che, se entri con SPID puoi fare tutto, se entri con delle credenziali più “deboli”, a seconda dei servizi, potrebbe essere necessaria un’ulteriore identificazione.
Sì, ma sempre dentro SPID si resta. Altro è fare SPID per una cosa, user+pwd per un’altra (con gestione delle credenziali, recupero credenziali smarrite, protezione dei dati da eventuali hacker ecc ecc ecc), cioè mantenere il doppio binario.
Al netto di tutto a me la volontà del legislatore pare evidente, dare ai cittadini una sola utenza per avere accesso a qualunque cosa pubblica in modo da semplificare la vita A LORO. Se poi vogliamo fare la punta agli spillini e mantenere le vecchie utenze per non impazzire a cambiare i nostri siti e semplificare la vita A NOI, ok. Sono pienamente d’accordo che non è questo che migliora la vita dell’utente, specie anziano e con pochi soldi (cioè senza smartphone o internet), ma questo è quel che vuole il legislatore. Poi non meravigliamoci quando alle prime proteste del Codacons di turno uscirà una norma chiarificatrice ancora più severa e punitiva di quella attuale.
Scusate se mi intrometto, ma il mio caso pure sorgono dubbi. Io offro un servizio di prenotazione ticket, a cui si appoggia una camera di commercio. Le persone si registrano con nome, cognome, e email, dati che servono unicamente per sapere a quale mail inviare le comunicazioni di avvenuta prenotazione (o spostamento o annullamento), e che nome e cognome utilizzare sul pannello messo a disposizione della camera per sapere chi si presenterà.
Nel mio caso SPID serve oppure no? perchè quando gli utenti dal sito della camera arrivano sul nostro sistema, vanno a finire su un altro sito. Il problema nel nostro caso però, è che ha un costo l’autenticazione tramite SPID, essendo noi privati, parliamo di 0,4€ ad accesso unico, se pure giriamo il pagamento alla camera, parliamo di una cifra comunque esagerata per quello che fa il servizio, tenendo conto del fatto che se la camera lo implementasse direttamente non pagherebbe nulla. Ma così si tappano le ali ai privati che offrono servizi esterni, e si tappano le ali anche alle amministrazioni pubbliche che decidano di avvalersi di chi lavora direttamente in un determinato settore dei servizi telematici.
fra l’altro, a regime, sgravare i sistemi informativi locali delle componenti di autenticazione e gestione delle credenziali potrebbe essere un vantaggiom un risparmio e un miglioramente della sicurezza
Capisco quello che dici e condivido il discorso della duplicazione dei sistemi, della fatica etc. Infatti non dico che è sbagliato, anzi: la maggior parte dei servizi dovranno per forza stare su SPID, semplicemente per il fatto che la maggior parte di essi ha necessità di identificare il cittadino per poter avviare il procedimento amministrativo.
Ma considerare SPID sempre e in ogni caso obbligatorio, anche per un forum, a mio avviso porrebbe comunque dei problemi.
Ad esempio, a norma di GDPR qualunque trattamento dovrebbe essere orientato al rispetto in particolare dei principi di proporzionalità e minimizzazione.
Quindi la domanda è: perché mai devo dare il mio vero nome e cognome etc (perché identificandomi con SPID li darei al Service Provider) solo per partecipare ad un forum? È necessario trattare quei dati per il funzionamento del servizio? Possiamo discuterne.
Ma a quel punto i casi sarebbero due: o le PA non possono erogare servizi che consentono l’anonimato*, oppure devi consentire qualcosa che non sia sempre e solo SPID.
*Mi rispondo da solo: possono, perché c’è già un caso: le segnalazioni di illecito - whistleblowing, vedi sito ANAC. Quindi questo sito viola l’art. 64 del CAD? NO, perché il servizio -perlomeno inizialmente- non richiede identificazione informatica.
Scusa ma non capisco. Non basta che l’utente si autentichi sul sito Camera di commercio, e che poi sia la camera a passare a voi i dati che servono? Voi presentate il modulo precompilato ed è fatta. Per la modifica idem, uno entra dal sito camera poi arriva da voi già autenticato. Veramente non capisco perchè ci sia bisogno di autenticarsi solo sopra al vostro sito privato. Basta farlo prima.
Io ho usato spid per le cose più diverse e sempre mi è stato detto quali dati miei venivano passati al sito che chiedeva l’identificazione. A volte chiedevano anche il mio nmero di scarpe, altre volte solo nome cognome e email. Altre ancora nome e c.f…
Pensare che su internet esista l’anonimato solo perchè non si usa spid penso sia una cosa a cui non credono neanche i bambini di 10 anni. Se su questo forum qualcuno si mettesse a inneggiare all’ISIS o a pubblicare post pedofili o più banalmente a insultare al punto che qualcuno volesse sporgere querela, la polizia riuscirebbe comunque a risalire a lui/lei anche se ha fornito un nome falso.
Non è che se uso spid sul mio sito devo trattare chissà che dati, sono io a decidere cosa chiedere al sistema. Niente mi impedisce di minimizzare il trattamento, anzi è più facile che io tratti meno dati con spid che senza. Quello che serve a un forum è una mail e un nickname. Punto. Con spid io posso farmi dare la mail e stop, non sono obbligato a chiedere anche il nome o il cf o l’indirizzo di chi entra.
Semplicemente, se un giorno l’utente scrivesse sul forum delle porcherie, la polizia farebbe prima a risalire a lui (che non potrebbe sostenere che quelle cose le ha scritte qualcun altro con la facilità con cui lo può fare con dati pseudonimi).
Certo, abbiamo vagliato questa soluzione, non ancora con il cliente, c’è anche da dire però che se si sono rivolti ad un esterno per avere un sistema di prenotazione, significa che non volevano impegnarsi in lavori interni al loro sito. Sicuramente noi proporremo questa soluzione, perchè tralasciando il discorso tecnico, il costo economico ricadrebbe su di loro, che appunto potrebbero averlo a disposizione gratuitamente, però mettiamo il caso che loro dicono “non ci interessa dei costi, noi non vogliamo fare nulla”, allora in quel caso sarebbe importante da capire se appunto parliamo di obblighi anche su servizi esterni.
Anche perchè se non fosse necessario su siti privati esterni, non avrebbero nemmeno bisogno di creare questo sistema di passaggio delle informazioni, e implementazione dello SPID (tralasciando se serve per motivi interni al loro sito ovviamente), quindi almeno conoscere se legalmente sia necessario o meno aiuterebbe parecchio.
Io in generale la vedo così: l’uso di SPID/CIE è un DIRITTO del cittadino, perciò se il servizio richiesto è un servizio pubblico a mio parere il cittadino ha diritto ad avere l’accesso SPID, anche se questo avviene su di una piattaforma di fatto privata. L’ente per conto del quale il privato eroga il servizio, a mio parere ha il dovere di accertarsi che venga implementato SPID sulla piattaforma, anzi solitamente è l’ente stesso che fa l’accordo con AGID (ora con PAGOPA), anche se poi la realizzazione è fatta da una società privata, è l’ente ad essere il responsabile e non la società privata.
Per quanto riguarda la domanda di @Elena_S invece l’uso interno io non lo vedo come obbligo, ma come opportunità;ad esempio per gli sportelli dipendente dove si possono scaricare i cedolini, molto meno per i software utilizzati internamente che normalmente utilizzano il dominio.
Poi con il passaggio degli applicativi in Saas, invece ci si potrebbe fare un pensierino…
Sarebbe comunque bello avere un chiarimento dal @TeamDigitale…
Io in generale la vedo così: l’uso di SPID/CIE è un DIRITTO del cittadino
Cara @giuliamacchi, in questo thread si parla però dell’obbligo di SPID introdotto dal D.L. 16 luglio 2020, n. 76 convertito nella L. 11 settembre 2020 n. 120 (che conosci benissimo, come si vede dagli altri tuoi interventi), e si vede chiaramente come tutta la discussione e tutti i dubbi riguardino le implicazioni di questo obbligo (che esiste, quindi non è proprio soggetto a interpretazioni o opinioni). Non sono sicuro che uscire fuori dal D.L. da cui nascono tutte le domande, postulando lo SPID come diritto e non come obbligo, risponda alle domande
Sull’uso interno, invece, ha senso formulare teorie, dato che non mi pare il D.L. ne parli, lasciando ancora più dubbi.
Bè a mio parere il DIRITTO del cittadino è un OBBLIGO per gli Enti. per questo motivo ho provato a rileggere la norma in questo senso, non ho mai pensato di mettere in dubbio questo.
A volte allontanarsi un po’ dalla legge e cercare di vederla in un altro modo può servire a capirne meglio l’obiettivo.
Cosa può succedere se io cittadino il 1 marzo arrivo su un sito per fare una domanda di un servizio qualsiasi online e invece di SPID mi trovo a dover sottostare all’ennesima registrazione, mentre ho già uno SPID ed ho tutto il diritto sancito dalla legge di poter accedere con quello ? (per fare un esempio)
I problemi che vedo sono due: 1) la norma sembra riferirsi ai cittadini che accedono ai servizi online dei sito della P.A. (peraltro dal decreto correttivo al CAD del 2016 il concetto di “cittadino” comprende ogni soggetto giuridico), ma non esclude necessariamente che sia estesa a chi accede non solo per motivi personali ma anche per ragioni istituzionali; 2) qualche P.A. ha già implementato unicamente SPID per gli accessi del personale pubblico, altre fanno coesistere con SPID i pin già rilasciati (che restano validi fino al 30/09/2021), ma a regime residuano i noti problemi correlati alla delega di funzioni …che sembra non interessare nessuno nelle Amministrazioni centrali (MID, AgID) e che dovrà per forza essere risolta dalle P.A. interessate all’interno delle proprie procedure autorizzative-abilitative…
qui mi ripeto, ma la delega di funzioni è un problema slegato da SPID, tutto interno al servizio online (Che sia per cittadino o che sia per operatore dell’ammistrazione). Certo, fino ad adesso l’impiegato dell’ente pubblico si registra al sistema informatico con quale deve interagire inserendo i dati del dirigente, allegando il PDF ottenuto da una copia sbiadita della carta di indentità di questi (Che conserva nella cartella “carta identità direttore”) e confermando l’intenzione di registrarsi con un bel fax. Il dirigente, secondo il mix fra zelo del suo impiegato tuttofare e sua mania di controllo, puo’ trovarsi in una situazione compresa fra il non sapere nemmeno di essersi iscritto oppure essere in grado di operare in autonomia sul sistema. Il piu’ delle volte sa che esiste e che viene usato a suo nome. Ora, il fatto che un impiegato si registri a nome del dirigente e usi indiscriminatamente le sue credenziali non è certo una delega di funzioni. Estremizzando, è solo un falso. Uffici ancora piu’ pragmatici possono anche condividere una bella CNS del dirigente dedicata all’autenticazione ai servizi. Se sono ancora piu’ spinti, condividono direttamente un dispositivo di firma digitale e relative credenziali. Qui oltre al falso nominato iperbolicamente, emerge proprio una violazione di legge (quella sulla firma digitale). Ora, che il dirigente inizi a pensarci due volte prima di dare le sue credenziali spid e il controllo del secondo fattore di sicurezza ai suoi collaboratori per quanto fidati… e meno male!! Forse se ci pensavano prima invece che fare i furbetti crescevamo tutti con sistemi informatici meglio progettati (il tanto vituperato mepa/acquistionline tutto sommato questa cosa l’ha pensata).
Ma e’ proprio un problema culturale, da quel che vedo e sento, tutte le scuole pubbliche agiscono pensando che gli studenti abbiano pieno accesso al registro elettronico con le credenziali dei genitori (quindi voti e compiti assegnati li vedono li’) e che i genitori abbiano pieno accesso al goole classroom/meet di turno con le credenziali dei figli e organizzano li’ riunioni e colloqui. La comodità semplicistica genera mostri e prima o poi presenta il conto.
Finito l’OT, metto anche io la mia X sotto “Autenticazione SPID/CIE per tutto”, senza stare a fare sofismi interpretativi della norma scritta e senza speculazioni amminstrative sulla titolarità del sito che ospita il servizio o la personalità giuridica di chi lo gestisce… Se mi devo registrare e poi autenticare a un sito riferibile a una pubblica amminsitrazione devo usare SPID. @giuliamacchi e @Elena_S colgono perfettamente nel segno, l’uso di SPID - nella norma come nello storytelling istituzionale - è presentato come un diritto e una semplificazione per il cittadino, un suo diritto che si trasforma in obbligo per chi i diritti deve garantirli. Che sia un’agenda per prenotare un appuntamento o la presentazione della domanda di pensionamento non cambia nulla… Se poi l’amministrazione ritiene che identificare l’utente non sia necessario elaborera’ un sistema privo di autenticazione (per esempio un servizio di prenotazioni lo puoi basare su uno scambio via email di link utili per modificare o cancellare l’appuntamento) ed eliminare la componente di autenticazione dal software. E non farei nemmeno sofismi sul fatto se il servizio e’ per “cittadini” o per “utenza professionale” o per “utenza di dipendenti pubblici” - alla fine siamo tutti cittadini.
Se autenticazione deve essere, che SPID scorra a fiumi per le strade informatiche!
sono d’accordo su tutto. Avanti con SPID !
Non potrei non essere d’accordo anche sul discorso delega… non è poi così difficile creare differenti profili di accesso ai siti anche legati gerarchicamente, sinceramente io sono un po’ stanca di sentirmi dire ah ma io non niente ha tutto la segretaria. E’ assolutamente necessario che i dirigenti SAPPIANO quello che fanno i propri sottoposti. Spesso si tratta di attestazioni e di invio dati che hanno un valore legale. Poi è chiaro che devono poter delegare, ci mancherebbe…
@giuliamacchi e @frantheman sono d’accordo con voi sulla delega: va risolta dall’Ente al quale si accede, con le funzioni di sistema per amministratori locali ed equiparati. In certi enti che hanno previsto l’accesso SPID/CNS è già in partenza prevista la figura di un responsabile e di più operatori (ai quali assegnare prerogative in misura maggiore o minore); in altri enti responsabile e operatori sono praticamente equiordinati; il problema sorge in quegli enti in cui non è già implementato un sistema di distribuzione di deleghe ad operare (spero sia solo una questione di tempo per adeguarsi…).
In questo webinar dicono ufficialmente che con SPID professionale si può accedere come PA e non come persone fisiche e che ci sono già le linee guida pubblicate su questo. Minuto 1.00.00
O siamo tutti ciechi che non han visto la soluzione, o “ce stanno a cojonà”?
@Elena_S C’è un problema grande come una casa che forse chi ha progettato SPID professionale e chi lo postula non comprende bene: si tratta dell’imputazione giuridica delle azioni svolte da un soggetto usando l’identità digitale dell’Ente (a chi deve essere attribuita la prerogativa di svolgere una o più operazioni e, correlativamente, a chi ascrivere la eventuale responsabilità amministrativa, civile, penale, contabile, disciplinare per azioni che prefigurano profili di illegittimità?). A mio modo di vedere lo SPID professionale non ha senso, a meno che non abbia un ruolo abilitante di profili persone fisiche autorizzate ad operare (ma a quel punto non capisco perché non si possa usare lo SPID personale del responsabile dell’Ente).
In effetti, non ho letto le linee guida quindi non so se questa spid professionale sia l’identità dell’ente messa in mano a Mario Rossi o se è Mario Rossi che viene identificato come persona e riceve uno spid che imputa ciò che fa non a lui ma all’ente a cui è collegato.
In ogni caso però mi sfugge una cosa: chi o cosa impedisce a Mario Rossi che ha sul suo smartphone la spid professionale del comune di Roccacannuccia di cui è p.o. settore cultura, di mettersi a compiere atti a nome del Comune anche nel settore tributi, sport, finanziario ecc? Dove si delimita la competenza di questa identità?
