SPID e Area Tributi Lombardia

Luca_Sala · 10 Dicembre 2017, 5:25pm

Ciao,

ho regolarmente sottoscritto SPID e l’ho utilizzata per accedere al portale tributi della regione Lombardia. Per la procedura di login di SPID mi è stata chiesta la password e un codice inviato via sms.
Una volta effettuato l’accesso al portale della Regione, mi è stato però richiesto nuovamente un numero di cellulare (da confermare tramite codice) e l’indirizzo email (da confermare tramite codice).

Come mai PosteID/SPID, collegati ad email e cellulare verificati, non parlano direttamente con il portale della regione?

umbros · 10 Dicembre 2017, 9:28pm

Ciao @Luca_Sala,
tra gli attributi disponibili in SPID ci sono anche il numero telefonico e email, quindi tecnicamente ogni Identity Provider SPID può comunicare tali informazioni al Service Provider se queste sono necessarie all’erogazione del servizio.
Provvederò ad affrontare la cosa con la Regione Lombardia e Lombardia Informatica che è molto attiva sul fronte SPID.

Grazie per la segnalazione

Umberto Rosini
Agenzia per l’Italia Digitale

Luca_Sala · 10 Dicembre 2017, 9:43pm

Grazie a te per il lavoro.
Il portale tributi Lombardia non funziona ancora bene e ha un grosso bug sulla domiciliazione del bollo auto: mostra il bollo scaduto e l’opzione di pagamento anche se i soldi sono stati scalati dal c/c 15 giorni fa. Farò a loro questa segnalazione perché risulto non in regola anche se i soldi sono stati scalati

A presto

Daniele_Crespi · 12 Dicembre 2017, 8:37am

Gentile Luca Sala,
le rispondo sulle due diverse problematiche:

SPID e email
L’accesso tramite SPID al portale Tributi di Regione Lombardia non richiede al’IdP di propagare nell’asserzione anche l’email o il cellulare come si vede nella pagina che presenta l’IdP una volta digitate le credenziali

La scelta nei nostri servizi di richiedere di norma solo gli attributi identificativi,
viene fatta in ossequio al Regolamento Attuativo, che recita :

Art. 27 (Uso degli attributi SPID) I fornitori di servizi, per verificare le policy di sicurezza relativi all’accesso ai servizi da essi erogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggetti richiedenti. Tali policy dovranno essere concepite in modo da richiedere per la verifica il set minimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto e mantenuti per il tempo strettamente necessario alla verifica stessa, come previsto dall’articolo 11 del decreto legislativo n. 196 del 2003

Anche se l’email ed il cellulare potrebbero essere richiesti all’IdP , per nostra policy, che nasce dall’esperienza di oltre 10 anni di gestione di sistemi di Identità “federata” , pensiamo che email e cellulare che cittadino fornsce al proprio IdP non possa essere considerata “tout court” come l’email ed il cellulare che utilizziamo per comunicare con lui , per tutti i nostri servizi

Quelle sono l’email ed il cellulare che il cittadino ha dato al proprio IdP ma il cittadino deve essere libero di scegliere quali contact point dare per i nostri servizi, al limite anche diverso per ogni servizio

Qual’ora un servizio abbia necessità , in una certa fase o per alcune funzioni, di avere nel profilo dell’utente anche email e/o cellulare, glielo chiede e lo gestisce

Tutto ciò , ovviamente, fino a che non entrerà a regime il “domicilio digitale” che creerà condizioni normative differenti

Portale Tributi e domiciliazione
Mi risulta che abbiamo attivato oltre 500.000 domiciliazioni bancarie e generalmente senza gravi problemi. Io personalmente l’ho fatto per due auto e tutto ha funzionato. In ogni caso il serziio tributi ha un contact center che risponde a qualunque esigenza al numero Verde 800.151.121

Cordiali Saluti
Daniele Crespi
Lombardia Informatica SpA

umbros · 12 Dicembre 2017, 8:50am

Grazie per il chiarimento @Daniele_Crespi
E’ corretto che un SP ha facoltà di scelta degli attributi da utilizzare nonostante che gli attributi secondari possano essere utilizzati se funzionali, ma questo dipende, appunto dalle logiche applicate dall’SP stesso.

Umberto Rosini
Agenzia per l’Italia Digitale

Luca_Sala · 12 Dicembre 2017, 10:46am

Gentile @Daniele_Crespi,

la ringrazio per il chiarimento. Potrebbe essere un’opzione spenta di default e attivabile dall’utente, in modo da evitare doppie registrazioni a priori ma rendere comunque possibile personalizzare il proprio profilo.

Per il secondo punto, la domiciliazione ha funzionato perfettamente (conferma di attivazione arrivata, sms arrivato e bonifico automatico effettuato) ma non si è aggiornato il profilo sul sito, dove i due bolli risultano ancora non pagati dopo 15 gg. La ringrazio per la dritta e contatterò il centro assistenza.

Complimenti a tutti per questo metodo innovativo, interattivo e VELOCE di risolvere i problemi. Grazie.