menu di navigazione del network

SPID per i dipendenti pubblici della PA per evadere pratiche amministrative

Questo post nasce dalla richiesta di alcuni dipendenti che non vogliono utilizzare il proprio spid personale ad uso lavorativo , in quanto lo reputano scorretto per via dell’utilizzo del proprio cellulare per la ricezione otp ed email per notifica di accesso ai portali con credenziali SPID.

In rete è disponibile l’attivazione di SPID professionale, il quale aggiunge allo SPID della persona fisica un attributo aggiuntivo che è l’organizzazione di appartenenza.

Il quesito dunque è : se dovessi creare uno spid professionale ad un dipendente , con questo spid comunque accederebbe anche ai suoi documenti privati sui portali della pubblica amministrazione? Se la risposta è si, che senso ha attivare l’utenza professionale? Inoltre questo creerebbe un grande problema di privacy per i dipendenti…

Un esempio pratico per eplicare meglio la mia preoccupazione : portale AGENZIA DELLE ENTRATE
L’utente A è in possesso di uno SPID professionale associato al suo ente, lascia le credenziali di SPID al suo collega B. Il collega B accede al sito dell’agenzia delle entrate e visualizzerà anche le informazioni personali dell’utente A? oppure essendo che è uno SPID professionale accede alle sole informazioni dell’ente a cui è associato?

1 Mi Piace

Non penso che lo SPID professionale eviti il problema della ricezione del secondo fattore di autenticazione.

A memoria, lo SPID professionale è una identità SPID a tutti gli effetti, solo che fra l’IdP e l’utente si frappone un soggetto dell’organizzazione professionale che associa o disassocia l’utente all’organizzazione ed eventualmente gli dà ulteriori attributi.
Quindi, non esiste proprio che A lasci le sua credenziali a B!
Magari ci sarà un altro collega C che ha le chiavi per rilasciare velocemente a B la sua identità SPID professionale. O per toglierle ad A quando va in pensione.
Non ricordo se poi con una utenza SPID professionale si possa accedere a servizi SPID pensati per utenti non professionali, ma mi sembra proprio di no. Quindi se da una PA si deve accedere a un servizio pensato per utenze non professionali ci si deve rassegnare a usare un telefonino.

Sulla condivisibilità della rimostranza sindacale di usare un proprio dispositivo per ricevere un codice che serve per fare una cosa di lavoro si potrebbe aprire un dibattito. E se il servizio online ricihiedesse l’ingresso con CIE?

Per non ricevere le email sulla mail personale… potrebbero farsi una identità SPID dedicata alle cose di lavoro, magari la PA di appartenenza potrebbe consigliare un IdP che magari offre l’OTP su token (esistono ancora?) e comprarlo ai dipendenti (così anche la questione di principio è salva)

1 Mi Piace

L’uso del proprio cellulare per la ricezione otp dipende dal livello di autenticazione richiesto. Non dimentichiamo che esiste anche SPID livello 1.
Se fino a ieri era possibile accedere a un sistema con username e password, non è detto che da oggi sia necessaria un autenticazione a due fattori.
Per quanto riguarda il tipo di autenticazione richiesta per l’accesso al servizio, è bene ricordare che questo viene definito dal Service Provider. Quindi il dipendente non accederà ai propri documenti privati su altri siti a meno che il SP abbia deciso di consentirglielo.

1 Mi Piace

Le domande poste hanno risposta nella lettura dell’Avviso SPID n° 18 v2 a cui farò riferimento in questo post (in particolare alle tabelle a pag 1 e pag 2 ).

Non si chiarisce se fa riferimento all’identità di tipo 3 o di tipo 4. Dalle domande successive sembra fare riferimento al tipo 4.

E’ esattamente il contrario, è un’identità di persona giuridica che include i riferimenti di una persona fisica (il dipendente).
Può sembrare una distinzione formale, in realtà ha anche implicazione pratiche.

Se si fa riferimento ai servizi destinati ai cittadini (ad es. 730 precompilato, certificati anagrafici, iscrizione dei figli a scuola, etc) dalla tabella a pag. 2 si evidenzia come non è possibile creare servizi che consentano contemporaneamente l’accesso con identità di tipo 1 (cittadino) e tipo 4 (id giuridica uso professionale).

Le identità digitali di tipo 1, 3 e 4 sono prettamente personali.
Quindi sia l’utente A che l’utente B avranno la propria identità di tipo 4.
L’utente A non dovrà mai dare le proprie credenziali a B.
Nello scenario opposto, A, più che preoccuparsi che B possa “sbirciare” il suo 730 (che ho già evidenziato non essere possibile), dovrebbe preoccuparsi che B, operando sul portale dell’Agenzia delle Entrate a nome di A , possa creare accidentalmente o volontariamente delle “situazioni problematiche” di cui risponderà A

2 Mi Piace

Quesito forse banale che si riferisce a questo punto della risposta precedente:
"E’ esattamente il contrario, è un’identità di persona giuridica che include i riferimenti di una persona fisica (il dipendente).
Può sembrare una distinzione formale, in realtà ha anche implicazione pratiche…"

Lavorando per un ente locale vedo i colleghi utilizzare diversi portali a seconda delle varie esigenze.
Ora vorrei capire se lo SPID giuridico è unico o possono essere multipli.
Mi chiedo ad esempio se lo SPID giuridico di un collega che lavora all’ufficio personale e accede ad esempio al ministero dell’interno per ANPR o di chi deve accedere all’ANAC ecc.
Nel caso di identità giuridica unica ogni dipendente avrebbe accesso a dati e portali che non gli competono.

Sono estremamente interessata anche io. Anch’io avevo capito (avendolo letto praticamente ovunque, anche da chi vende questo SPID) che lo SPID professionale fosse l’identità della persona, legata all’identità di una azienda. Quindi essenzialmente una cosa inutile rispetto ai problemi che elenco di seguito.
Se invece veramente fosse l’identità dell’ente con i riferimenti di una persona, potrebbe essere effettivamente la soluzione al problema.

Perchè adesso il problema esiste eccome, le casistiche con cui mi sto scontrando io sono:
-colleghi con smartphone vecchio (a loro dire) che non riescono a installare le app SPID per la lettura dei qr code e possono accedere solo con sms, ma gli sms sono contingentati e non vogliono sacrificarli per l’ufficio temendo di averli esauriti quando gli serviranno per uso personale
-colleghi che non vogliono usare le attrezzature personali per l’ufficio ma d’altra parte non vogliono neanche installare la loro app spid personale su un device d’ufficio
-colleghi ‘timorosi’ (sono soprattutto quelli di livello più basso) che hanno sempre usato i vari portali con le credenziali del dirigente o di altri e che adesso sono terrorizzati all’idea di dover rispondere personalmente di chissà cosa visto che userebbero i loro dati personali per entrare nei vari siti invece di quelli del responsabile-PO-dirigente ecc.

Quello che servirebbe è una “SPID del dirigente dell’ente” che si possa ‘passare’ da un addetto all’altro (passando lo smartphone) a seconda delle necessità. Che sia richiesto un livello 1 2 o 3 di autenticazione nei diversi siti è irrilevante, per i problemi che ho io.

L’accesso con CIE o CNS risolverebbe solo parzialmente il problema (e richiederebbe l’acquisto di una marea di lettori)

Secondo me è un problema molto relativo. Lo SPID certifica una persona fisica (che è responsabile di ciò che compie, sia in ambito privato sia in ambito pubblico o professionale o di lavoro. In ogni caso è sempre responsabile, poiché l’azione è compiuta volontariamente e nel pieno possesso delle facoltà mentali. Ora, che il dipendente non voglia usare il proprio smartphone è come, per estensione e passatemi il termine grossolano, che non voglia usare usare le proprie mani o la propria divisa, diciamo. Tuttavia, laddove vi sia proprio un ostruzionismo verso questa forma di attività, l’azienda potrebbe fornire uno smartphone al dipendente, in dotazione esclusiva, nel senso che lo configura lui, con i propri dati e, generalmente, con le credenziali logiche o meglio biometriche le quali consentano, appunto, l’uso esclusivo. Sorvolo sulla questione di passaggio delle credenziali: verrebbero violati i principi minimi di sicurezza, non potendo identificare con certezza il responsabile delle azioni condotte nelle procedure considerate. Personalmente, ho invitato tutti i dipendenti che non l’avessero ancora fatto, ad accreditarsi tramite un identity provider, per ottenere la certificazione SPID, che ripeto, certifica l’identità di una persona fisica, poiché, fino a prova contraria, la responsabilità giuridica, sia pure in scala gerarchica, risponde sempre ad una identità di persona. :slight_smile:

2 Mi Piace

Certo, infatti su quello non si discute. La massima parte delle obiezioni è pretestuosa e -diciamolo- strumentale ad avere uno smartphone d’ufficio.
Ma il punto è che “prima” per autenticarsi si usavano le credenziali del dirigente, per cui la responsabilità non sfiorava neanche lontanamente l’operatore. Adesso che entrano col loro nome e cognome, per quanto su delega, han paura. Poi siamo d’accordo che se un operatore prima faceva un disastro a nome del dirigente lo andavano a prendere lo stesso, ma la cosa era sentita come più lontana.
Lo SPID professionale che vorrebbero servirebbe a identificare il dirigente esattamente come le credenziali prima, non l’operatore che materialmente fa l’inserimento dati. E all’interno dell’ufficio se lo potrebbero passare per entrare in INAIL, in INPS, in AdE ecc ecc ecc. Ma per vedere solo le pratiche d’ufficio e non le cose personali del dirigente. Questo mi chiedono da un mese in qua…

Lo hanno chiesto anche a me. Ho risposto che non se ne parla nemmeno. Se ci fosse uno SPID aziendale che fa capo ad una persona giuridicamente responsabile (e solo quella) potrebbe ancora (forse) avere un senso, ma derogare responsabilità usando credenziali altrui è una pratica scorretta e purtroppo assai diffusa. In alcuni casi ho visto firmare digitalmente documenti perché il “responsabile” che “si fida” dei suoi collaboratori, passava la chiavetta e il PIN. Ho detto molto seccamente, un giorno, che la firma digitale gode della proprietà di “non ripudio” nel senso che non è possibile affermare di non aver firmato tale documento, a meno di furto o smarrimento delle credenziali, ma in quel caso dovrebbe esistere una denuncia. Al minimo esiste la grave colpa nell’aver violato gli obblighi di conservazione e custodia delle credenziali, ma questo riguarda in realtà tutte le credenziali, ivi compresa la posta elettronica.
In questo ultimo caso, quando si passano le credenziali di posta o del profilo di dominio sulla postazione di lavoro, l’obiezione più diffusa è “ma tanto non ho niente da nascondere” ho risposto che in realtà è tutto da proteggere, dal momento che si è responsabili in forma individuale di informazioni più varie utilizzabili in modi imprevedibili. Credo sia una forma di pigrizia mentale, come mettere “provvisoriamente” la candeggina nella bottiglia vuota dell’acqua minerale, “tanto io so cosa c’è dentro, mica sono scemo”. Sono comportamenti molto difficili da combattere e sconfiggere.

3 Mi Piace

La normalità con la quale si sente proporre questa usanza in questo periodo fa rabbrividire a mio avviso. :zipper_mouth_face:

In questo contesto l’avviso citato in precedenza da @AGS è molto chiaro:

L’identità di tipo 4 consente, inoltre, di avere la certezza di chi sia la persona fisica che sta agendo nell’ambito di una specifica organizzazione. Quest’ultima identità risolve anche potenziali problemi di utilizzo del servizio, in quanto un datore di lavoro può trovare ostacoli da parte dei dipendenti all’utilizzo della propria identità digitale di tipo 1 per scopi lavorativi. Per ovviare a tale problema, può dotare i propri dipendenti dell’identità digitale di tipo 4. L’organizzazione, oltre ad autorizzare il rilascio di questa tipologia di identità, acquisisce il diritto (e il dovere nel caso il soggetto lasci l’organizzazione) di richiederne la revoca per qualunque ragione.

Rispondo con esempio.

I sigg. Rossi, Verdi e Bianchi sono tutti dipendenti del Comune di X.

Ognuno di loro potrà avere una propria identità di tipo 4, associata all’ente per cui lavorano.
Quindi avremo:

Identità per Rossi, avente il significato: Sig. Mario Rossi, Dipendente del Comune di X
Identità per Verdi, avente il significato: Sig. Giuseppe Verdi, Dipendente del Comune di X
Identità per Bianchi, avente il significato: Sig. Francesco Bianchi, Dipendente del Comune di X

Come suggerito dal nome, le identità digitali hanno solo lo scopo di certificare l’identità di chi accede ad un servizio.
L’autorizzazione, ovvero il fatto che Bianchi possa o meno accedere ad un particolare servizio digitale dell’ANAc per conto del Comune di X, è un problema diverso, non gestito da alcun sistema di identità digitale.
Esso è gestito dai singoli Service Provider (ANAC, ANPR, etc) secondo criteri specifici del servizio.

1 Mi Piace

Grazie, risposta chiara ed esauriente ai miei quesiti.
@Elena_S Il passo successivo è capire se i portali tipo INPS sono pronti ad associare il profilo corretto alla persona con questo tipo di SPID.
Fatto questo bisogna capire le intenzioni dell’amministrazione e i device necessari.

Il problema che il dipendente sia autorizzato ad accedere a un certo servizio digitale per conto del Comune è secondario, è rarissimo che un dipendente “s’allarghi”, anzi!
Il problema più sentito è che Rossi Verdi e Bianchi non vogliono proprio comparire col loro nome, indipendentemente dal fatto che sia associato al comune o meno. Vorrebbero che l’accesso avvenisse con l’identità della dott.ssa Viola, dirigente del Comune di X, e non con la loro in quanto dipendenti. (il che è sbagliato per tutte le ragioni che ci siamo detti).
Il vantaggio di sapere che l’accesso al sito ANAC l’ha fatto Rossi piuttosto che Verdi è insignificante. Nella stragrande maggioranza degli enti c’è UN singolo dipendente che fa quasi tutto in quel settore… il problema di capire chi ha fatto cosa esiste solo e forse nei grandi enti (tipo comune di Roma, INPS…).

In alcuni casi ho visto firmare digitalmente documenti perché il “responsabile” che “si fida” dei suoi collaboratori, passava la chiavetta e il PIN

Se l’hai visto solo in alcuni casi sei fortunato. Io ho visto cose che voi umani… E alle mie rimostranze il dirigente diceva che ostacolavo il suo lavoro :zipper_mouth_face: :rofl: :sob:

3 Mi Piace

problema verissimo. Altrettanto vero che non si puo’ risolvere il problema “violentando” il concetto di identità digitale (che già la vulgata “delega dell’identità digitale” ormai assunta a legge con l’ipotetico SGD ci ha messo del suo).

Come chiesto anche in altri post, quindi al servizio DURC online si accede con SPID di tipo 4?

PS: comunque, posto che i fornitori di servizi online per imprese e aziende implementassero 1) l’accesso con SPID tipo 4 2) una logica di permessi adeguata nel servizio online, sarebbe un balzo in avanti notevole.
Avete presente la difficoltà di gestire le millemila credenziali personali dei dipendenti che operano per conto dell’azienda? MI riferisco al momento in cui cessano il rapporto con l’azienda o sono adibiti ad altre mansioni. Se anche tutti i servizi online mettessero a disposizione pannelli di controllo per gestire gli utenti, non se ne uscirebbe piu’ comunque.
Con lo SPID aziendale invece l’utente di governo revoca di colpo le credenziali SPID e il gioco è fatto.

2 Mi Piace