nella nostra PA per ogni UOR abbiamo un indirizzo PEC di Aruba.
Ora Aruba ci spinge ad attivare l’autenticazione a due fattori.
Il punto è che spesso non è il dirigente ad accedere alla casella PEC ma per esempio anch il suo vice.
Se attiviamo 2FA non funziona più.
Ora si potrebbe pensare di attivare PEC per ogni utente, ma nel vademecum per l’implementazione delle linee guida ( vedi link sotto ) c’è scritto chiaramente che i canali ufficiali sono limitati alle AOO e le UOR
"A questo proposito deve essere segnalato che la comunicazione diretta verso articolazioni di AOO non esposte sull’IPA rimane una comunicazione impropria poiché l’interscambio di documenti tra PP.AA. deve avvenire tra AOO oppure tra AOO e UOR e/o UOR e UOR, censite su IPA. "
Qulacuno di voi si è già posto questo problema e come l’avete risolto?
Buongiorno,
mi sembra di capire che nel modello organizzativo della vs PA le PEC non arrivino direttamente al protocollo come sarebbe opportuno, altrimenti non si spiegherebbe l’intervento del dirigente e/o del suo delegato; il punto di ingresso delle comunicazioni dovrebbe essere il protocollo, altrimenti avrebbe poco senso che la normativa obblighi ad attestare almeno una PEC proprio per il protocollo.
Nella mia PA usiamo (di norma) una unica PEC per AOO attestata sul protocollo ed è il sistema di protocollo che si occupa di scaricare le PEC, dopo la protocollazione la posta viene assegnata alla/e UOR competente/i. Nel caso che una AOO abbia, per particolari motivi (concorsi, gare, etc) altre PEC
sono sempre attestate sul protocollo con ACL più restrittive.
Saluti
Natale
Anche se la PEC è attestata sul protocollo, ogni tanto gli uffici possono avere la necessità di accedere via webmail alle caselle per effettuare alcune operazioni manuali.
Ciò avviene per diversi motivi, quali ad esempio il verificare le PEC non acquisite automaticamente dal sistema di protocollo (per errori di codifica o altro), valutare lo stato di archiviazione dei messaggi (alcuni fornitori offrono servizi di archiviazione alternativi), compiere operazioni di manutenzione etc. I ruoli possono essere diversi (il protocollista, il responsabile di protocollo, l’amministratore di sistema, etc.)
Per cui effettivamente il legarsi ad un unico meccanismo di 2FA è decisamente bloccante; l’ideale sarebbe un 2FA che accettasse token generati da più dispositivi associati alla stessa casella. Non so se tecnicamente sia possibile.
proprio come ha scritto Fabrizio
Poi c’è anche il discorso IMAP.
Se il programma di protocollo puo scaricare le PEC via IMAP, la cosa funzionerà se si attiva 2FA?
Le PEC di tipo aziendale/business permettono la gestione multiutente. Il ns. fornitore (Actalis che poi è Aruba) per le ns. PEC non richiede 2FA (almeno finora).
La AOO cui appartengo con un’unica PEC lavora circa 100.000 PEC in entrata ed altrettante in uscita per anno da circa 4 anni senza alcun problema tutto attraverso il protocollo, anche la cancellazione IMAP.
si la ma 2FA diventerà obbligatoria, e a quel punto sarà un delirio anche perchè mi pare che Aruba per esempio non abbia in progetto di implementare OAUTH su IMAP…
Se non ricordo male, la 2FA diverrà obbligatoria per i servizi bancari, ma non potrà essere resa obbligatoria per tutti i tipi di servizi. Un pò come il cambio password obbligatorio ogni 3/6 mesi che non è obbligatorio per i servizi di sistema.
La 2FA diventerà obbligatoria per la PEC con il passaggio alla PEC “completa” a norma di regolamento EIDAS (PEC con identificazione certa del titolare e valore europeo).
Se non erro la scadenza è fine 2023
Puoi darmi un riferimento più preciso sulla obbligatorietà della 2FA? Perchè mi pare che abbia poco a che fare con l’identificazione certa del titolare, operazione a monte del rilascio.
"Si noti che la modalità di accesso al suddetto pannello tecnico deve essere una tra quelle previste dall’EN 319 521 [8], Clause 5.2.2 (e riportate qui di seguito per comodità):
a) multi factor authentication mechanisms;
b) mutual TLS authentication, which includes advanced user’s certificate;
c) advanced electronic signature " (cit. da REM services)
non ha a che fare con l’autenticazione hai ragione, sono due requisiti differenti. Per l’autenticazione sarà necessario SPID o altre procedure rigide a differenza di adesso. IL secondo fattore è requisito (sensato, visto che poi quella PEC diventa una identità digitale legale):
stante l’arretratezza dei sistemi di posta si userà almeno per ora l’MFA per accedere a qualcosa che generi una psw non MFA a scadenza, rendendo la vita un inferno agli utenti. É vero che non sarà strettamente necessario per l’accesso ad IMAP ma di mezzo ce l’hai.
Nella speranza/prospettiva che aggiornino i server di posta per usare OAUTH e quindi poter usare MFA nativamente nell’accesso IMAP.