Dispongo dello Spid sia delle Poste che di Infocert ma nessuno dei due ha disponibile il 3^ livello.
Quindi per poter avere lo Spid 3^ livello dovrei abbandonare quelli che ho e passare all’unico service provider che attualmente offre il sistema spid al completo che è Aruba. Strano perchè Poste e Infocert sono stati fra i primi a offrire i servizi spid.
Vi risulta che le cose stanno in questi termini oppure che sono in fare di completamento anche gli Spid di Infocert e/o di Poste?
Ciao @Paolo_Del_Romano,
nel momento in cui partiranno servizi di 3 livello tutti gli IDP lo metteranno a disposizione.
Se vedi ad esempio Poste ID, nella scheda sul sito AgID come IDP Spid, riporta la soluzione di 3 livello autorizzata: http://www.agid.gov.it/infrastrutture-architetture/spid/identity-provider-accreditati/poste-italiane-spa
Umberto Rosini
Agenzia per l’Italia Digitale
Segnalo a @Paolo_Del_Romano che di difficilmente avrà esigenza di una credenziale di livello 3 e che un servizio di livello 3 (credo sia il primo e l’unico) è già operativo (da meno di un mese):
SISPC sezione per
Come noti la tipologia degli utenti è una porzione (piccola) della platea utenti, in particolare soggetti che trattano dati per la salute (pubblica).
questi i temi trattati dal servizio:
La credenziale di livello 3 operativamente è richiesta per “soggetti che operano sudati sensibili o che hanno impatti sulla salute di soggetti terzi” (definizione non formale e semplificata).
L’avviso n° 4 di AGID ci aiuta a comprendere che la credenziale di livello 3 è riservata a casi particolari e che difficilmente impatta sull’utilizzatore “medio”.
Spero di aver fornito un contributo
Ti confermo che sono in possesso di una credenziale di livello 3 rilasciata da ARUBA (ne avevo bisogno per contribuire alle verifiche sul servizio del post precedente).
Temo che con Umberto vi siate fraintesi.
Quindi in sintesi: il sistema spid procede e continua a crescere, occorre tempo e pazienza, alla pari credo ci siano tutti gli elementi per essere fiduciosi.
Ringrazio sia te che Umberto Rosini per le delucidazioni.
Una delle mie aspettative principali con lo spid 3 che per il momento non ancora si realizza è di avere qualcosa che somigli alla pec-id , “concepita” nell’ormai vecchio CAD, ma mai nata!
Il problema della messaggistica pec è che ad oggi non garantisce la certezza del mittente perchè l’autenticazione alla webmail non è ancora certificata.
Speriamo che questo problema venga risolto.
Saluti.
Paolo
Concordo.
Saluti
Paolo
Paolo salve,
per una corretta lettura del documento credo che sia importante ricordare la collocazione temporale.
faccio un minimo di storia:
SPID viene concepito nel 2014 ed ha una gestazione di quasi due anni (tempo necessario per mettere a punto tanti aspetti)
nei primi mesi del 2016 le regioni (numericamente poche e che possono auto coordinarsi per alcuni aspetti) concordano tra loro e con l’interessamento di AGID l’elenco che poi diverrà l’avviso n 4.
parte dai servizi regionali che sarebbero poi stati fruibili anche con spid nel primo anno di vita.
Nel giugno 2016 (quando SPID ha 2-3 mesi di vita) vi è abbastanza esperienza per poter considerare valida la categorizzazione per livello proposta e concordata e agid emana l’avviso.
Oggi vi è un’esperienza di quasi due anni e personalmente credo non sia più necessario scendere in un livello di dettaglio così profondo.
Tu reputi possa essere utile una rivisitazione?
se sì per quale motivo e per quali servizi?
PS: Grazie di aver fatto emergere questo aspetto
Ciao Paolo,
La pec-id dovrebbe servire per fare in modo che, alla ricezione di una PEC, il ricevente possa considerare certa l’identità del mittente. Tale scenario nel mondo analogico è rappresentato dal caso in cui il mittente abbia inviato una raccomandata A/R con allegata una fotocopia del suo documento di identità. Rubare una fotocopia di documento è molto facile.
Per quale motivo in questo scenario consideri necessario il livello 3?
Simone Piunno
Team per la Trasformazione Digitale
@Luca_Bonuccelli non è corretto dire questo. Sicuramente il livello 3 sarà più utilizzato da professionisti e imprese ma sarà utilizzato anche da cittadini. Si pensi alla CIE come strumento di 3 livello, nel tempo l’avranno tutti e quindi costruire servizi che corrispondono a LoA4 sarà più fattibile e AgID, di concerto con SP, potrà di volta in volta se necessario definire quale livello applicare.
Mi riferivo a Poste e la stessa cosa vale per Infocert, attualmente Aruba rilascia credenziali di livello 3 quello che ho detto è che tutti gli IDP la forniranno.
Si Paolo, sicuramente verrà integrato e ampliato. Quell’elenco è stato fatto di concerto con le Regioni (come lo stesso Luca ha detto) quindi potrebbero tranquillamente esserci altri servizi che potrebbero essere messi a livello 3 (LoA4).
Riguardo la pec-id mi interesserebbe sapere il perchè come @spiunno e, se lo ritieni, secondo te quali altri servizi dovrebbero andare a livello 3?
Aggiungo che dire livello 3 non vuol dire per forza non poter lavorare in mobilità.
Umberto Rosini
Agenzia per l’Italia Digitale
Il problema è che se io presento una istanza via pec dovrei apporre la firma digitale sull’istanza
per avere pieno valore legale perchè la PEC certifica solo la consegna. E’ come se io inviassi
una istanza alla PA con lettera raccomandata A.R… Se l’istanza non ha la firma autografa in originale oppure se ho allegato una fotocopia dell’istanza essa non ha pieno valore legale.
Invece il servizio PEC-ID consente di identificare le persone fisiche e giuridiche che presentano istanze e dichiarazioni per via telematica nei confronti delle pubbliche amministrazioni .
Il servizio prevede che il titolare della casella di posta elettronica certificata (autore del messaggio) abbia ricevuto le credenziali per l’accesso al servizio previa identificazione da parte del Gestore secondo precise modalità tecniche e ciò sia attestato dal Gestore nel messaggio o in un suo allegato.
Ora gli stessi giudici hanno fatto confusione fra PEC e PEC-ID (si veda la famosa sentenza del TAR CAMPANIA n.1450/2015).
LINK
I giudici hanno pensato che siccome quando si consegna una PEC si segue un processo di
identificazione del titolare simile alla firma digitale, allora hanno dedotto che la PEC offre le stesse garanzie di certezza nella identificazione del titolare che offre la firma digitale. In realtà non è cosi’. O meglio dipende dall’erogatore del servizio PEC. Ma la legge non prevede un procedimento di identificazione sicuro per la normale PEC.
Per questo motivo hanno varato nella normativa del CAD la PEC-ID che però non ha avuto successo perchè nessun fornitore di pec lo ha immesso sul mercato.
Ho avuto uno scambio su questa questione, via social, con alcuni esperti come Daniele Tumietto e Andrea Caccia e entrambi mi hanno prospettao uno scenario dove quello che non si è ottenuto con l’istituto ormai “abortito” della PEC-ID dovrebbe essere risolto legando insieme lo SPID (livello 3 ma per alcune cose basterebbe anche il livello 2) con la PEC.
Per quanto riguarda i servizi io penso soprattutto alle istanze verso la PA. Cioè io entro in un portale della PA, riempio un form dove pongo la questione e non devo apporre alcuna firma perchè l’autenticazione via SPID è sufficiente per garantire l’autenticità della sottoscrizione.
Per far capire meglio il tema posto racconto cosa è successo in questi ultimi anni con un servizio denominato CIVIS (che io considero rivoluzionario) che l’agenzia delle entrate ha messo a disposizione dei contribuenti che vogliono contestare (cd. procedimento dell’Autotutela) delle cartelle esattoriali (o avvisi irregolarita’ legate alle dichiarazioni dei redditi ) ricevute .
Io contribuente entro con le credenziali AGE (non è ancora possibile farlo con lo spid) clicco su un link che mi apre un form dove scrivo il codice cartella e scrivo molto brevemente le mie ragioni della opposizione all’atto impositivo e clicco sul pulsante invia. Quindi senza mettere alcuna firma e facendo una cosa molto informale.
La pratica viene assegnata da un sistema centralizzato al primo ufficio libero della regione dove risiede il contribuente ( ecco il vero colpo di genio) per l’esame. Il risultato in base alla mia esperienza personale è che il giorno dopo la pratica viene evasa. Vi risparmio quello che succedeva fino a qualche anno fa in termini di tempo di attesa per l’istruttoria della pratica, mattinate da perdere negli uffici, code interminabili, etc…
Ecco la gestione delle cd. AUTOTUTELE è per me gia’ un piccolo/grande esempio di applicazione e-gov molto utile per il cittadino
Ciao @Paolo_Del_Romano,
è sicuramente un tema importante e una bella indicazione. Non sono convinto del livello 3 in quanto basterebbe un accesso alla pec anche a spid livello 1 (attualmente si entra sulla posta con un pari livello spid 1) e un invio della pec effettuando un’operazione dispositiva di spid livello 2.
Grazie della collaborazione e ti invito a fornire altri spunti se vuoi.
Umberto Rosini
Agenzia per l’Italia Digitale
Perfettamente d’accordo con te. Infatti io vedo il livello 3 SOLO per atti dove è necessario un sistema di autenticazione MOLTO FORTE . Penso a sottoscrizioni che nel sistema analogico devono essere autenticate da un pubblico ufficiale o particolari soggetti come il funzionario comunale, il cancelliere di un tribunale, il notaio (ad esempio le stesse richieste di spid, l’asseverazione di una perizia, etc.)
Sempre sul livello 3 Aruba spiega QUI
come offre il suo servizio e mi colpisce che è prevista la possibilità di agganciare lo spid alla Tessera Sanitaria con CNS ma non alla CIE. Non è strano?
Ciao @Paolo_Del_Romano,
riguardo la CIE è un tema che stiamo portando avanti con tutti gli IDP, ovviamente più cresce l’utilizzo più la necessità si fa forte.
Umberto Rosini
Agenzia per l’Italia Digitale
@Paolo_Del_Romano
La motivazione che mi do è che in questo momento l’ecosistema (i driver, l’informazione di base,ecc ) non è ancora maturo, ad esempio i driver per la cie non sono ancora stati rilasciati in modalità stabile. (ma sono certo che manchino pochi mesi alla pubblicazione)
Perchè uno strumento possa essere spendibile anche commercialmente occorre che sia ragionevolmente privo di incognite, questa la motivazione che mi do sulla scelta dell’uso della CNS, strumento certamente datato, ma sicuramente noto nei pregi e difetti.
CNS comunque si posiziona sulla stessa fascia di sicurezza della CIE , pur con peculiarietà diverse.
SPID sta evolvendo e a volte gli stati intermedi possono lasciare perplessi, ponendosi in un ottica temporale di un paio d’anni spesso trovo alcune motivazione.
Che ne dici @umbros: può esdsere una motivazione valida?
ma è un processo evolutivo che si svolge in un contesto internazionale (esempio eIDAS) oppure parli di una evoluzione nel contesto nazionale (come è avvenuto per Pec e CNS) ?
@Luca_Bonuccelli confermo.
Oltretutto la parte interessante di SPID è che è un sistema che per forza di cose dovrà progredire di anno in anno ed essere sempre aggiornato. Mi vengono in mente per esempio pattern di autenticazioni di tipo passwordless che però, per ora, ancora non sono maturi per il “mercato” o comunque per la maggior parte degli utenti.
Riguardo la CIE è stato da poco rilasciato il middleware ed è comunque in espansione quindi penso che non tarderà ad arrivare anche su SPID.
Umberto Rosini
Agenzia per l’Italia Digitale
Sulle modalità di autenticazione il contesto è europeo (vedi eIDAS) per quanto riguarda temi sull’interoperabilità. Riguardo gli strumenti e processi di autenticazione questi vengono notificati ma si ha libertà di azione.
Umberto Rosini
Agenzia per l’Italia Digitale
Ma non diamo per scontato che sia un percorso senza ostacoli e senza rischi.
Se dovesse esserci (adesso subito dopo le elezioni) uno “spoils system” della governance di Agid e strutture connesse che non si ponga in continuità con quello che si è fatto finora, potrebbe rallentare tutto e su certe scelte esserci anche qualche “reset non benefico”