menu di navigazione del network

SPID e accesso a siti P.A. per ragioni istituzionali

Penso che l’idea di far convergere il modello di autenticazione ad aree riservate di siti della Pubblica Amministrazione sia buona, ma c’è un ma…
Spesso, per ragioni di lavoro, si deve accedere a banche-dati pubbliche riservate, che prevedono il rilascio di credenziali solo ad un numero ridotto di soggetti abilitati per ciascun Ente (normalmente si tratta del dirigente o del funzionario competente dell’Ente); spesso la prassi vede l’utilizzo di queste credenziali da parte di una minima aliquota di personale dell’ufficio autorizzata dal dirigente/funzionario ad operare, sotto la sua responsabilità (non è pensabile nella vita reale che i lavori di routine e “bassa forza” vengano svolti dai vertici amministrativi) e, purtroppo, per una malintesa tutela della privacy, è spesso impostato anche un timeout che comporta un logout dopo tot minuti di attività o inattività. Del resto quand’anche fossero abilitabili più utenti (e non è detto che la convenzione di accesso lo permetta), non tutti potrebbero ovviamente avere privilegi amministrativi (c.d. amministratori locali, supervisori, responsabili ecc…).
Per il momento molti di questi siti usano ancora la combinazione nomeutente, password, eventuale altro codice prefissato, ma un domani che sia adottato un metodo diverso (SPID, CNS, CIE, ecc…)?
Come si concilia un meccanismo di autenticazione rafforzato che necessita un intervento “invasivo” dell’utente interessato (inserimento email, password, codice di conferma via sms o autorizzazione in app in tempo reale o quasi) con l’uso pratico di tutti i giorni? Ci sono già ipotesi di transizione a SPID o altro anche per queste tipologie di siti non utilizzabili dai privati cittadini? Ok la sicurezza ma se cozza con la praticabilità non si lavora più…

Si concilia con la delega. Come si é sempre fatto con le procedure cartacee. Il delegante con il suo spid delega lo spid del suo delegato

3 Mi Piace

Comunque su questo problema se n’è già parlato in precedenza

2 Mi Piace

Ok, ottimo, grazie. Speriamo che i vari SP gradualmente si adeguino a prevedere possibilità di delega di funzioni per poter accedere, allora :slight_smile:

Credo pero’ che @Lazlu si riferisse piu’ che altro a situazioni lavorative interne agli uffici, tipo prendere un cig, fare un ordine sul mepa, compilare dati su una piattaforma che sono operazioni che competono a una persona con un determinato ruolo nell’amministrazione (responsabile del procedimento, direttore ecc.).

Il problema c’e’ e usare la password del dirigente o responsabile di turno o farlo accedere e sbrigare il lavoro al posto suo non è certo la soluzione (ed è sicuramente irregolare). Si fa, ma non è la soluzione.

Per me quindi, SPID o non SPID, andrebbero ridisegnate le procedure dei servizi istituzionali. Ovvio che fin tanto che la gente continua a condividere le password del capo non c’e’ interesse a mettere mano alle procedure.

2 Mi Piace

Sì, @frantheman hai colto perfettamente nel segno, è un problema molto serio il cui impatto si aggraverà ancora di più nei prossimi anni, ma finché i vari Enti non permettono accessi con profili di autorizzazione multipli e differenziati temo che non si risolverà mai…

Tempo fa avevo proposto di usare IndicePA come Attribute Authority SPID (che ci consentirebbe di sapere chi sono i dirigenti delle Unità organizzative) penso che un approccio analogo sarebbe utile

1 Mi Piace

Il fatto è che ci sono mansioni e mansioni: 1) in alcune non è necessario essere titolari di poteri direttivi / rappresentativi dell’Ente / Amministrazione per poter svolgere la funzione (basta essere accreditati in proprio tra i profili abilitati all’accesso), vedi gli accessi ai servizi delle Agenzie fiscali, tranne alcuni servizi; qui non c’è nessun problema per il dipendente accedere con le sue credenziali; 2) il problema si pone quando la mansione è esplicazione di poteri direttivi o rappresentativi che non possono essere esercitati o delegati in capo ad alcun soggetto diverso dal “capo” (es. direttore generale, amministratore di società, sindaco, dirigente, posizione organizzativa, capo dipartimento ecc…), vale lo stesso discorso per l’apposizione della firma digitale, spesso lasciata nel cassetto della segretaria (o, in ambito privato, del commercialista…). È un problema culturale, ma anche pratico, perché nessun vertice gestirà mai da solo tutte le fasi della procedura informatica o della formazione dell’atto, e tra i meno tecnologici vedrai sempre il tizio che ti dici “firma tu che va bene” (per quanto consci delle implicazioni legali che ciò comporta). Allora è una questione che andrebbe normata, anche sul fronte delle deleghe (delega eventualmente “ad-acta” o per atto/procedura singoli, che non spossessano il delegante del suo potere); d’altro canto nei moduli di richiesta accesso ad aree riservate o nei moduli di convenzione dovrebbe essere sempre possibile inserire più persone per operare in nome e per conto dell’Ente richiedente (con il vertice che firma che se ne assume la responsabilità). Il fatto è che spesso non è possibile individuare figure diverse dal “capo” e altrettanto spesso i soggetti abilitati sono contingentati (non più di 2-3) in relazione al tipo di convenzione e/o del livello dimensionale dell’Ente.

In verità io mi sono trovata a dover gestire proprio la situazione che descrivi al punti 1) e l’ho trovata ben diversa. Praticamente io da sempre preparavo le denunce fiscali per un certo ente poi per trasferimento è sorta la necessità di sostituirmi. Preciso che entravo con userid-psw-pin miei personali poi sceglievo il profilo con cui operare. Una collega aveva già “le credenziali AdE” (diceva lei) quindi è stata designata per l’incarico.
La dirigente si è recata alla filiale, l’ha delegata formalmente per l’ente e a quel punto pareva fatta.
Peccato che quando è entrata -con spid- sul sito, vedeva solo il suo profilo personale. Per riuscire a vedere ilprofilo dell’ente è dovuta andare fisicamente anche lei ad una filiale AdE (vi lascio immaginare in fase di pandemia il godimento) per farsi rilasciare la “busta” con le credenziali psw-pin.
Quando ha detto che lei entrava con spid e si aspettava di poter vedere tutti i profili a lei assegnati, sia il suo personale che quello dell’ente, le hanno riso in faccia.

1 Mi Piace

@Elena_S Agenzia delle Entrate, credo dal 2015 (dicono per adempiere a direttive del Garante Privacy), ha impedito alle organizzazioni complesse (enti e società) di poter utilizzare account impersonali di accesso p.es. a Entratel, è quindi necessario che uno o più utenti siano formalmente individuati come gestori incaricati oppure come incaricati per agire in nome e per conto dell’ente o società, con il loro bel pin … suppongo che i problemi derivino da questo (SPID sembra non associato alla funzione “per conto di”). Il mio quesito riguardava casi in cui proprio non è possibile impersonare un utente con prerogative equivalenti al dirigente o quando gli utenti attivabili sono talmente pochi che qualche dipendente resta necessariamente fuori (es. Siatel, portale dei Comuni Sister, verifiche Infocamere ecc…). Per ora, per quanto deprecabile, ci sono le combinazioni utente+password, ma un domani? P.es. pensa all’applicazione Desktop Telematico (per spedire comunicazioni, dichiarazioni e pagamenti fiscali), non è materialmente possibile accedere in modo diverso da nomeutente+password+pin, ed è un fattore comune a tutti i software applicativi in locale da tenere in considerazione…

No, non è il problema di ‘impersonare’. Io ‘prima’ entravo con le MIE credenziali c.f.-pin-psw in AdE e solo DOPO, una volta dentro, sceglievo se volevo operare per me stessa o per il mio ente. Non usavo le credenziali del dirigente.
Invece entrando con SPID non hai l’opzione. Entri solo ed esclusivamente per te persona fisica e eventuali altri profili associati alla tua persona non li vedi proprio. Penso sia un problema del sw AdE che se ti logghi con spid ti fa atterrare direttamente nel tuo profilo personale e non un passaggio più indietro, ossia alla pagina in cui vedi tutti i profili che sei abilitato a usare (con delega formale rilasciata all’Agenzia dai rispettivi titolari)

1 Mi Piace

Non è cosi’ io (come commercialista) uso sistematicamente SPID per entrare nel cassetto fiscale dei miei clienti.
Il problema si pone per un comune cittadino che vuole delegare una persona di sua fiducia (ad esempio il papà che vuole delegare il figlio) ad entrare nelle funzionalità riservate alle persone registrate (ad esempio il papa’ che vuole far fare il modello 730 al proprio figlio non commercialista).

1 Mi Piace

Però, @Paolo_Del_Romano una certa stranezza l’ho notata anch’io su Entratel, ho il caso di un dirigente che è gestore incaricato per un Ente, con le credenziali classiche entra nel suo profilo oppure in quello dell’Ente dopo la scelta del menu a tendina, se entra con SPID vede solo il suo profilo personale… quindi c’è qualcosa che non va nella implementazione del sistema di autenticazione dell’AdE (lo stesso per l’INPS da parte di un amico libero professionista, che con pin dispositivo può gestire i due profili cittadino e consulente, con lo SPID no).

con l’inps accadeva pure a me all’inizio ma poi feci una segnalazione (all’inps) e il problema si è risolto

1 Mi Piace

Mah, qui parliamo di legali rappresentanti di enti pubblici che delegano dipendenti a trasmettere CU e quant’altro, la situazione dovrebbe essere analoga ai commercialisti delegati dai clienti. Comunque alla prossima occasione riproviamo, magari hanno sistemato estendendo la facoltà dei commercialisti anche agli altri.

mah!..non è detto che abbiamo risolto questo problema