menu di navigazione del network

SPID 3 livello: quali service provider?


(Luca Bonuccelli) #4

Segnalo a @Paolo_Del_Romano che di difficilmente avrà esigenza di una credenziale di livello 3 e che un servizio di livello 3 (credo sia il primo e l’unico) è già operativo (da meno di un mese):
https://www.prevenzionecollettiva.toscana.it/welcome/ sezione per

  • Professionisti
  • (Medico, Pediatri, Veterinario)
  • Operatori Sanitari
  • Pubbliche amministrazioni

Come noti la tipologia degli utenti è una porzione (piccola) della platea utenti, in particolare soggetti che trattano dati per la salute (pubblica).
questi i temi trattati dal servizio:

  • Sicurezza alimentare
  • Sanità pubblica
  • Sorveglianza, prevenzione e controllo delle malattie infettive e parassitarie
  • Tutela della salute e della sicurezza degli ambienti aperti e confinati
  • Salute animale e igiene urbana veterinaria
  • Sorveglianza e prevenzione delle malattie croniche
  • Sorveglianza e prevenzione nutrizionale
  • Valutazione medico legale degli stati di disabilità e per finalità pubblica
  • Prevenzione nei luoghi di lavoro

La credenziale di livello 3 operativamente è richiesta per “soggetti che operano sudati sensibili o che hanno impatti sulla salute di soggetti terzi” (definizione non formale e semplificata).

L’avviso n° 4 di AGID ci aiuta a comprendere che la credenziale di livello 3 è riservata a casi particolari e che difficilmente impatta sull’utilizzatore “medio”.

Spero di aver fornito un contributo


(Luca Bonuccelli) #5

Ti confermo che sono in possesso di una credenziale di livello 3 rilasciata da ARUBA (ne avevo bisogno per contribuire alle verifiche sul servizio del post precedente).

Temo che con Umberto vi siate fraintesi.

Quindi in sintesi: il sistema spid procede e continua a crescere, occorre tempo e pazienza, alla pari credo ci siano tutti gli elementi per essere fiduciosi.


(Paolo Del Romano) #6

Ringrazio sia te che Umberto Rosini per le delucidazioni.

Una delle mie aspettative principali con lo spid 3 che per il momento non ancora si realizza è di avere qualcosa che somigli alla pec-id , “concepita” nell’ormai vecchio CAD, ma mai nata!
Il problema della messaggistica pec è che ad oggi non garantisce la certezza del mittente perchè l’autenticazione alla webmail non è ancora certificata.

Speriamo che questo problema venga risolto.

Saluti.
Paolo


(Paolo Del Romano) #7

Ma questo elenco secondo voi verrà ampliato nei servizi per tipologia di accesso?
LINK


(Paolo Del Romano) #8

Concordo.
Saluti
Paolo


(Luca Bonuccelli) #9

Paolo salve,
per una corretta lettura del documento credo che sia importante ricordare la collocazione temporale.
faccio un minimo di storia:
SPID viene concepito nel 2014 ed ha una gestazione di quasi due anni (tempo necessario per mettere a punto tanti aspetti)
nei primi mesi del 2016 le regioni (numericamente poche e che possono auto coordinarsi per alcuni aspetti) concordano tra loro e con l’interessamento di AGID l’elenco che poi diverrà l’avviso n 4.
parte dai servizi regionali che sarebbero poi stati fruibili anche con spid nel primo anno di vita.

Nel giugno 2016 (quando SPID ha 2-3 mesi di vita) vi è abbastanza esperienza per poter considerare valida la categorizzazione per livello proposta e concordata e agid emana l’avviso.

Oggi vi è un’esperienza di quasi due anni e personalmente credo non sia più necessario scendere in un livello di dettaglio così profondo.

Tu reputi possa essere utile una rivisitazione?
se sì per quale motivo e per quali servizi?

PS: Grazie di aver fatto emergere questo aspetto


(Simone Piunno) #10

Ciao Paolo,

La pec-id dovrebbe servire per fare in modo che, alla ricezione di una PEC, il ricevente possa considerare certa l’identità del mittente. Tale scenario nel mondo analogico è rappresentato dal caso in cui il mittente abbia inviato una raccomandata A/R con allegata una fotocopia del suo documento di identità. Rubare una fotocopia di documento è molto facile.

Per quale motivo in questo scenario consideri necessario il livello 3?

Simone Piunno
Team per la Trasformazione Digitale


(Umberto Rosini) #11

@Luca_Bonuccelli non è corretto dire questo. Sicuramente il livello 3 sarà più utilizzato da professionisti e imprese ma sarà utilizzato anche da cittadini. Si pensi alla CIE come strumento di 3 livello, nel tempo l’avranno tutti e quindi costruire servizi che corrispondono a LoA4 sarà più fattibile e AgID, di concerto con SP, potrà di volta in volta se necessario definire quale livello applicare.

Mi riferivo a Poste e la stessa cosa vale per Infocert, attualmente Aruba rilascia credenziali di livello 3 quello che ho detto è che tutti gli IDP la forniranno.

Si Paolo, sicuramente verrà integrato e ampliato. Quell’elenco è stato fatto di concerto con le Regioni (come lo stesso Luca ha detto) quindi potrebbero tranquillamente esserci altri servizi che potrebbero essere messi a livello 3 (LoA4).

Riguardo la pec-id mi interesserebbe sapere il perchè come @spiunno e, se lo ritieni, secondo te quali altri servizi dovrebbero andare a livello 3?

Aggiungo che dire livello 3 non vuol dire per forza non poter lavorare in mobilità.

Umberto Rosini
Agenzia per l’Italia Digitale


(Paolo Del Romano) #12

Il problema è che se io presento una istanza via pec dovrei apporre la firma digitale sull’istanza
per avere pieno valore legale perchè la PEC certifica solo la consegna. E’ come se io inviassi
una istanza alla PA con lettera raccomandata A.R… Se l’istanza non ha la firma autografa in originale oppure se ho allegato una fotocopia dell’istanza essa non ha pieno valore legale.

Invece il servizio PEC-ID consente di identificare le persone fisiche e giuridiche che presentano istanze e dichiarazioni per via telematica nei confronti delle pubbliche amministrazioni .
Il servizio prevede che il titolare della casella di posta elettronica certificata (autore del messaggio) abbia ricevuto le credenziali per l’accesso al servizio previa identificazione da parte del Gestore secondo precise modalità tecniche e ciò sia attestato dal Gestore nel messaggio o in un suo allegato.

Ora gli stessi giudici hanno fatto confusione fra PEC e PEC-ID (si veda la famosa sentenza del TAR CAMPANIA n.1450/2015).
LINK

I giudici hanno pensato che siccome quando si consegna una PEC si segue un processo di
identificazione del titolare simile alla firma digitale, allora hanno dedotto che la PEC offre le stesse garanzie di certezza nella identificazione del titolare che offre la firma digitale. In realtà non è cosi’. O meglio dipende dall’erogatore del servizio PEC. Ma la legge non prevede un procedimento di identificazione sicuro per la normale PEC.

Per questo motivo hanno varato nella normativa del CAD la PEC-ID che però non ha avuto successo perchè nessun fornitore di pec lo ha immesso sul mercato.

Ho avuto uno scambio su questa questione, via social, con alcuni esperti come Daniele Tumietto e Andrea Caccia e entrambi mi hanno prospettao uno scenario dove quello che non si è ottenuto con l’istituto ormai “abortito” della PEC-ID dovrebbe essere risolto legando insieme lo SPID (livello 3 ma per alcune cose basterebbe anche il livello 2) con la PEC.

Per quanto riguarda i servizi io penso soprattutto alle istanze verso la PA. Cioè io entro in un portale della PA, riempio un form dove pongo la questione e non devo apporre alcuna firma perchè l’autenticazione via SPID è sufficiente per garantire l’autenticità della sottoscrizione.

Per far capire meglio il tema posto racconto cosa è successo in questi ultimi anni con un servizio denominato CIVIS (che io considero rivoluzionario) che l’agenzia delle entrate ha messo a disposizione dei contribuenti che vogliono contestare (cd. procedimento dell’Autotutela) delle cartelle esattoriali (o avvisi irregolarita’ legate alle dichiarazioni dei redditi ) ricevute .

Io contribuente entro con le credenziali AGE (non è ancora possibile farlo con lo spid) clicco su un link che mi apre un form dove scrivo il codice cartella e scrivo molto brevemente le mie ragioni della opposizione all’atto impositivo e clicco sul pulsante invia. Quindi senza mettere alcuna firma e facendo una cosa molto informale.
La pratica viene assegnata da un sistema centralizzato al primo ufficio libero della regione dove risiede il contribuente ( ecco il vero colpo di genio) per l’esame. Il risultato in base alla mia esperienza personale è che il giorno dopo la pratica viene evasa. Vi risparmio quello che succedeva fino a qualche anno fa in termini di tempo di attesa per l’istruttoria della pratica, mattinate da perdere negli uffici, code interminabili, etc…

Ecco la gestione delle cd. AUTOTUTELE è per me gia’ un piccolo/grande esempio di applicazione e-gov molto utile per il cittadino


(Umberto Rosini) #13

Ciao @Paolo_Del_Romano,
è sicuramente un tema importante e una bella indicazione. Non sono convinto del livello 3 in quanto basterebbe un accesso alla pec anche a spid livello 1 (attualmente si entra sulla posta con un pari livello spid 1) e un invio della pec effettuando un’operazione dispositiva di spid livello 2.

Grazie della collaborazione e ti invito a fornire altri spunti se vuoi.

Umberto Rosini
Agenzia per l’Italia Digitale


(Paolo Del Romano) #14

Perfettamente d’accordo con te. Infatti io vedo il livello 3 SOLO per atti dove è necessario un sistema di autenticazione MOLTO FORTE . Penso a sottoscrizioni che nel sistema analogico devono essere autenticate da un pubblico ufficiale o particolari soggetti come il funzionario comunale, il cancelliere di un tribunale, il notaio (ad esempio le stesse richieste di spid, l’asseverazione di una perizia, etc.)

Sempre sul livello 3 Aruba spiega QUI
come offre il suo servizio e mi colpisce che è prevista la possibilità di agganciare lo spid alla Tessera Sanitaria con CNS ma non alla CIE. Non è strano?


(Umberto Rosini) #15

Ciao @Paolo_Del_Romano,
riguardo la CIE è un tema che stiamo portando avanti con tutti gli IDP, ovviamente più cresce l’utilizzo più la necessità si fa forte.

Umberto Rosini
Agenzia per l’Italia Digitale


(Luca Bonuccelli) #16

@Paolo_Del_Romano
La motivazione che mi do è che in questo momento l’ecosistema (i driver, l’informazione di base,ecc ) non è ancora maturo, ad esempio i driver per la cie non sono ancora stati rilasciati in modalità stabile. (ma sono certo che manchino pochi mesi alla pubblicazione)

Perchè uno strumento possa essere spendibile anche commercialmente occorre che sia ragionevolmente privo di incognite, questa la motivazione che mi do sulla scelta dell’uso della CNS, strumento certamente datato, ma sicuramente noto nei pregi e difetti.
CNS comunque si posiziona sulla stessa fascia di sicurezza della CIE , pur con peculiarietà diverse.

SPID sta evolvendo e a volte gli stati intermedi possono lasciare perplessi, ponendosi in un ottica temporale di un paio d’anni spesso trovo alcune motivazione.

Che ne dici @umbros: può esdsere una motivazione valida?


(Paolo Del Romano) #17

ma è un processo evolutivo che si svolge in un contesto internazionale (esempio eIDAS) oppure parli di una evoluzione nel contesto nazionale (come è avvenuto per Pec e CNS) ?


(Umberto Rosini) #18

@Luca_Bonuccelli confermo.
Oltretutto la parte interessante di SPID è che è un sistema che per forza di cose dovrà progredire di anno in anno ed essere sempre aggiornato. Mi vengono in mente per esempio pattern di autenticazioni di tipo passwordless che però, per ora, ancora non sono maturi per il “mercato” o comunque per la maggior parte degli utenti.
Riguardo la CIE è stato da poco rilasciato il middleware ed è comunque in espansione quindi penso che non tarderà ad arrivare anche su SPID.

:slight_smile:

Umberto Rosini
Agenzia per l’Italia Digitale


(Umberto Rosini) #19

Sulle modalità di autenticazione il contesto è europeo (vedi eIDAS) per quanto riguarda temi sull’interoperabilità. Riguardo gli strumenti e processi di autenticazione questi vengono notificati ma si ha libertà di azione.

Umberto Rosini
Agenzia per l’Italia Digitale


(Paolo Del Romano) #20

Ma non diamo per scontato che sia un percorso senza ostacoli e senza rischi.
Se dovesse esserci (adesso subito dopo le elezioni) uno “spoils system” della governance di Agid e strutture connesse che non si ponga in continuità con quello che si è fatto finora, potrebbe rallentare tutto e su certe scelte esserci anche qualche "reset non benefico"


(Luca Bonuccelli) #21

Coraggio e fiducia Paolo.
In ogni caso i politici possono cambiare, i funzionari no.


(Umberto Rosini) #22

Sante parole @Luca_Bonuccelli:slight_smile:

Umberto Rosini
Agenzia per l’italia Digitale


(Paolo Del Romano) #23

Ho attivato un paio di mesi fa lo SPID di 3 livello con Aruba ma vedo che ci sono esperti del settore che scrivono in questi giorni che esiste solo lo SPID di 2 livello!! :roll_eyes: