SPID e delimitazione dei "servizi in rete"

L’art.64, comma 2-octies, del CAD recita attualmente:

Le pubbliche amministrazioni consentono mediante SPID l’accesso ai servizi in rete da esse erogati che richiedono identificazione informatica.

e quindi fa riferimento al concetto di “servizio in rete” di cui all’art.63 delinea organizzazione e finalità.

Quando il Piano triennale parla di “servizi digitali” o di “servizi web” si può supporre che questi siano sinonimi di “servizio in rete”. E’ corretto?

Resta il fatto che il CAD non fornisce una definizione di “servizio in rete”, concetto in passato al centro di dibattiti tra giuristi.

Senza fare trattazioni teoriche, c’è un dubbio importante da sciogliere: visto che le PA devono consentire mediante SPID l’accesso ai “servizi in rete”… tali servizi in rete includono i servizi utilizzati dai dipendenti/operatori pubblici? oppure per tali sistemi il dipendente potrà continuare ad usare credenziali rilascita da IdP locali? Questo vuol dire mantenere i costi degli IdP locali naturalmente.

Se SPID va applicato anche ai servizi digitali “strumentali” (usati da dipendenti della stessa PA o di altre) cosa succede in caso di disservizio del fornitore SPID che impedisce al dipendente di accedere al sistema con cui deve formare un provvedimento in quella data e non oltre? è possibile prevedere forme di accesso con credenziali di emergenza (come è per la protocollazione in emergenza)?

Ciao @ggentili,
interessante la tua domanda, SPID è uno strumento per i cittadini e le imprese, quindi direi che l’obiettivo è che tutti i servizi al cittadino, professionisti e imprese debbano essere acceddibili con SPID. SPID può altresì (può e non deve) essere utilizato in sistemi interni alla Pubblica Amministrazione (intranet, extranet…).

Umberto Rosini
Agenzia per l’Italia Digitale

Dovendo prendere delle decisioni che comportano investimenti per centinaia di migliaia di € (migrazione o no dagli IdP locali a SPID, costi di esercizio o no degli IdP locali) chiedo un ulteriore chiarimento:

  1. Per sistema interno ad una PA, va considerato un sistema utilizzato solo dai propri dipendenti/operatori? oppure anche un sistema utilizzato da dipendenti/operatori di altre PA (ad esempio per accedere ad una banca dati riservata alla PA)?
  2. Se SPID si “può e non deve” essere usato con i sistemi interni ad una PA, questo vuol dire che le spese correnti legate agli IdP locali non sono soggette a taglio del 50%?
  3. Quando il Piano triennale parla di “servizi digitali” o di “servizi web” è corretto dire che questi sono sinonimi di “servizio in rete” ai sensi del CAD?
  4. Sono previste o prevedibili procedure di accesso con credenziali di emergenza?

Ciao, grazie.

Ciao Giovanni,
ti rispondo ai punti 1 e 4 e mi riservo di risponderti alla 2 e alla 3 entro oggi:

Ambedure i casi, lì è scelta dell’amministrazione che eroga internamente il servizio o lo eroga ad uso di altre PA pensare eventualmente di mettere SPID. Ad esempio sul nuovo sistema di onboarding/gestione di SPID l’accesso sarà dato al Responsabile per la Trasformazione Digitale (che ogni amministrazione deve nominare) e poi sarà lui, su un sistema rbac, a definire permessi di accesso e ruoli ai dipendenti dell’amministrazione di cui fa parte.

No e non ritengo siano necessarie, oggi sistemi che prevedono accesso con autenticazione su sistemi locali non prevedono sistemi di credenziali di emergenza quindi non c’è necessità alcuna anche con SPID oltretutto gli IDP hanno degli SLA molto stretti.

Ci sentiamo oggi per le altre due risposte :slight_smile:

Umberto Rosini
Agenzia per l’Italia Digitale

Grazie per la sollecitudine Umberto.

quindi sul sistema di onboarding/gestione di SPID non si accederà utilizzando SPID?

e come avete pensato di identificare che si tratta davvero del Responsabile per la Trasformazione Digitale?

Si il Responsabile accederà tramite SPID e l’ufficialità è data dal Registro. Quindi il sistema legge i cf e li abilita al sistema.

Umberto Rosini
Agenzia per l’Italia Digitale

mi sembra la scelta ottimale. ma perchè per gli altri servizi in rete ad uso di dipendenti/operatori delle PA dovrebbe essere opzionale l’uso di SPID? vorrebbe dire che a seconda del sistema che si trova davanti il dipendente pubblico deve ottenere delle credenziali diverse.

mi pare chiaro che la scadenza fissata dal Piano per marzo 2018 veda come prioritari i servizi in rete rivolti a cittadini/imprese, ma con una pianificazione più lunga andrebbe valutato, nella prossima versione del Piano, l’obbligo di implementare SPID anche per i servizi tra PA e della PA verso i dipendenti. sempre che questa sia l’interpretazione da dare al CAD.

altrimenti si creerebbe anche una disparità di diritti, in quanto un cittadino-dipendente non avrebbe la possibilità di usare SPID per vedere il proprio fascicolo personale oppure il proprio cedolino stipendi (ad esempio).

Ciao @ggentili l’obiettivo è quello principalmente di portare i servizi al cittadino sugli altri potrebbero intervenire procedure di autorizzazione all’utilizzo per cui SPID non è la soluzione corretta quindi non può essere un obbligo ma una raccomandazione.

Ciao Umberto, relativamente al mondo della scuola, l’accesso al registro elettronico da parte dei docenti e, volendo, anche da parte dei genitori sarebbe opportuno effettuarlo tramite SPID, nell’ottica di un servizio fornito al cittadino (lato genitori) e utilizzo da parte dei dipendenti della PA (lato docenti). Ti chiedo: essendo servizi forniti da aziende terze tramite applicativi che girano sui loro server, si pensa di definire protocolli specifici con queste aziende per consentire loro l’implementazione di componenti per l’autenticazione tramite SPID? Oppure sarà necessario continuare a utilizzare le attuali forme di autenticazione? User e password…
Thanks

Nei primi corsi di formazione (2 o 3 anni fa) la ARGO, una delle aziende leader per i sw utilizzati dalle scuole (registro elettronico e non solo ) parlava di credenziali che noi scuole dovevamo distribuire alle famiglie in attesa del decollo del cd “pin unico” ma poi la cosa non ancora si è concretizzata. Sarebbe interessante capire se ci sono ancora dei problemi tecnici da risolvere.

Ciao Antonio @ziotod,
tutti i fornitori di software che erogano servizi al cittadino tra cui il registro elettronico dovranno implementarci SPID e spegnere gli attuali sistemi locali.
Riguardo l’erogazione del servizio lo sforzo che stiamo facendo è quello di portare i servizi sui domini della PA stessa.
Autenticazioni locali non sono più contemplate. :slight_smile:

@Paolo_Del_Romano speriamo quanto prima la reale implementazione. Noi stiamo spingendo e supportando.

Ciao

Umberto Rosini
Agenzia per l’Italia Digitale

Ciao @ggentili ti rispondo ai punti 2 e 3,

Punto 2:
Non sono attualmente obbligate dalla legge quindi corretto quanto dici. Ma il nostro obiettivo è di portare anche servizi “interni” su SPID e, di conseguenza, puntare allo spegnimento totale di Identity Server interni.

Punto 3:
E’ tema di discussione con il DAGL - che servizi in rete e servizi digitali, nel cad sono - anche se impropriamente dal punto di vista tecnico - utilizzati come sinonimi. Si sta valutando se scegliere un’unica formulazione.

Umberto Rosini
Agenzia per l’Italia Digitale