Infatti deve essere la PPAA e nel caso dei privati il datore di lavoro a fornire i mezzi quali che siano.
Ci sono ottime ragioni di sicurezza per le quali il lavoratore non solo non deve avere ma anche ha il diritto di opporsi ad avere il sistema di autenticazione dello SPID di lavoro sul suo cellulare personale, tre le prime che mi vengono in mente.
Furto del cellulare
Rottura
Cambio di SIM nel caso di SPID legato al numero di cellulare
Il problema che ancora molti non si rendono ben conto del valore dell’accesso a determinati sistemi, e come se un datore di lavoro volesse far installare l’app di autenticazione del banca che da accesso ai conti della società, sul cellulare privato di uno dei dipendenti.
Anche usare il badge personale sebbene possa apparire pratico non è una buona idea perché solitamente quello si porta sempre nel portafoglio o portamonete, e se te lo rubano il danno è doppio.
Giusto qualche giorno fa un amico che mi ha detto che da loro, azienda edile piuttosto grossa, dopo un sacco di problemi, sopratutto con l’accesso all’home banking ed all’INPS, hanno risolto in questo modo una penna USB con firma digitale un’altra penna USB con CNS e uno smartphone super economico per SPID e le varie app bancarie.
Vengono tenuti tutti sempre in ufficio in una cassaforte, ed usati a seconda dei casi, in questo modo sono sempre disponibili dalle persone che devono fare il lavoro e il pericolo di furti e smarrimenti sono ridotti al minimo.
A mio avviso sarebbe opportuno che, se il dipendente pubblico agisce telematicamente per esigenze di servizio per conto dell’Ente di appartenenza, usasse la CNS, comprensiva degli attributi qualificati di status (che rispecchino il ruolo e lo spettro dei limiti autorizzativi ad esso consentiti). Questo implica però che ogni postazione sia dotata di lettore per CNS, che sia configurato all’uso e che ogni sito della P.A. sia predisposto per l’accesso tramite CNS (ricordiamoci che a legislazione vigente la CNS è del tutto equipollente alle identità digitali)…
avere una patente per guidare mezzi è un requisito indispensabile per assunzione in posti dove è necessario guidare e anche fuori orario di lavoro serve , lo spid non è obbligatorio ognuno è libero di averlo o meno, si può vivere anche senza, è una scelta e nessun datore di lavoro ti può costringere a farlo…è strettamente personale e legato alla propria identità…quindi il tuo esempio è fuori luogo
Se sei un autista di scuolabus guidi autobus anche fuori dall’orario per andare a fare la spesa? Se SPID serve per entrare in un sito in cui si deve entrare per necessità di lavoro, è necessario quanto una patente di categoria superiore.
Al giorno d’oggi lo SPID serve anche per mille necessità personali, dal fascicolo sanitario alle pratiche INPS quindi è il tuo paragone ad essere fuori luogo.
Comunque nessun problema, adesso stanno escludendo SPID da alcuni megasiti pubblici tipo NoiPA, voglio vedere che scuse inventeranno le persone quando per lavorare sarà obbligatorio usare la carta d’identità!
Perchè di scuse si tratta, scuse per non usare il PROPRIO nome per le pratiche di lavoro ma mettere quello del dirigente/P.O. Nel mio ente usava passarsi le psw altrui, non vi dico le liti quando è stato chiaro che ognuno figurava col SUO nome!
Il problema di usare la CIE al posto dello SPID, è che la CIE è un documento che attesta l’identità dell’individuo o non il suo lavoro o mansione.
È il problema di dovere e poter distinguere tra l’identità personale e quella giuridica e professionale, ad esempio un notaio dove un conto è quando redige e firma un atto in qualità di notaio ed un altro quando lo fa per se stesso o per la sua famiglia, stessa cosa per un commercialista, un ingegnere, medico, ma anche per un qualsiasi impiegato
Mi sa che stiamo confondendo i piani.
Se parliamo di realtà e non di teoria, nella pratica oggi lo SPID professionale è inesistente. Tutti usano esclusivamente lo SPID personale. L’autorizzazione a quel soggetto ad operare per conto dell’ente di cui fa parte viene data a monte e fuori da SPID.
Ad es. per i conti giudiziali la Corte dei Conti ha chiesto via PEC agli enti il c.f. del soggetto incaricato all’invio, li ha reglistrati in una banca dati e adesso quella persona semplicemente va sul sito e col suo SPID personale entra, senza aver ricevuto credenziali o altro. E chiaramente opera a nome dell’ente che l’ha indicata.
Sulla questione firma (digitale), analogamente la stessa firma (smart card/token/certificato/device ecc) può essere usata indifferentemente a fini personali o personali. Il fatto che una persona stia operando in modo ufficiale e rappresentando un altro ente/soggetto o a fini personali a nome di sè stesso persona fisica, dipende dal rapporto organico che lo lega all’ente e dall’atto che sta firmando.
Non è la tecnologia che usa a dare la garanzia dei legittimi poteri di firma del soggetto.
(E di sicuro non è quella a liberare dalle responsabilità personali scaturenti dall’attività professonale, tipo la responsabilità erariale, scusate se insisto sulla questione)
Hai ragione quando dici che lo SPID professione è praticamente inesistente, perché usato pochissimo, però c’è lo puoi fare, ed a quanto ne so è anche supportato a livello legislativo e di regolamenti.
Il fatto che nella pratica venga usato lo SPID personale, anche durante l’esecuzione di compiti che non lo prevedono è un errore, che andrebbe risolto.
Lo stesso per la firma digitale/qualificata, ecc.
Il punto che io volevo segnalare, è che passando dallo SPID alla CIE tutti questi problemi, non solo non si risolverebbero, ma andrebbero anche a peggiorare, creando confusione tra quello che una persona fa a titolo personale nella sua vita, e quello che fa nella sua vita lavorativa.
Poi ovviamente il legislatore può anche dire che le due figure possono e devono sono perfettamente sovrapponibili e che quindi per Mario Rossi non deve esserci differenza tra quello che firma o a cui ha accesso nell’ambito della sua professione e quello che firma o a cui ha accesso nella sua vita privata, ed anche questo avrebbe un senso e probabilmente semplificherebbe anche tantissime situazioni.
Rimane il problema delle deleghe genitori/figli, o figli/nipoti verso genitori anziani, o un coniuge verso l’altro, e li oltre a norme precise andrebbe anche creato un sistema informatico, cailmente usabile, per la loro gestione.
Personalmente ritengo che l’autenticazione del soggetto operante (come anche la firma digitale dello stesso su un documento informatico) non dovrebbe creare criticità: in fondo quando un funzionario/dirigente sottoscrive con firma autografa di proprio pugno un documento analogico lo sottoscrive è vero in base alla qualità rivestita nell’Ente, ma è pure sempre lui/lei e le responsabilità giuridiche sottese alla firma sono sempre ascrivibili a lui (stessa cosa vale per un Legale rappresentante di un Ente o Società). Francamente non vedo necessità dello SPID persona giuridica…
Lo SPID professionale è e resta comunque un TUO SPID. Sei tu che ti autentichi, col tuo nome, nello stesso identico modo dello spid personale. Solo, in aggiunta c’è l’annotazione dell’ente per cui lavori. Stop. Non è il dirigente che si autentica. E se lo usi per entrare in un sito tipo quello del durc, o del mepa, quello spid funzionerà solo se prima sarai stato profilato dal tuo dirigente/responsabile utenze per quel sito. Quindi non cambia assolutissimamente nulla.
Anche se volessi loggarti per fare porcherie col tuo spid personale non potresti se il tuo ente prima non ti permette di lavorare per suo conto; anche se usi uno spid professionale per fare atti illeciti, risalgono comunque a te. Non cambia nulla.
Si certo, sono totalmente d’accordo con te.
La questione era un altra, è cioè se ci fosse necessità di distinguere Mario Rossi cittadino, da Mario Rossi mentre sta facendo il suo lavoro o la sua professione, che ovviamente può cambiare con il tempo.
Quindi c’è o no necessità di tenere disgiunte le due identità, anche solo per motivi di privacy ?
Ad esempio visto che in moltissime aziende la sicurezza informatica è o molto vicina o pari a zero Mario Rossi potrebbe non essere molto felice di usare le sue credenziali SPID in ambito aziendale, ma vale anche all’opposto, molte aziende a elevata sicurezza potrebbero non essere felici che un loro dipendente usi le sue credenziali personali nell’ambiente di lavoro.
Perché alla fine peer tutto il resto è come dici tu all’azienda serve solo collegare le autorizzazioni di cui ha bisogno all’identità elettronica del suo dipendente.
Ma infatti, anch’io ho fatto questo ragionamento e mi sono adeguato. Per me è una maggiore tutela della mia utenza, se poi farò errori pazienza (motiverò), ma almeno sarò certo che l’errore è mio!