Uno degli effetti più dirompenti del COVID-19 è stata la spinta tanto forte quanto improvvisa verso la “trasformazione digitale” del Paese, ed in particolare verso la digitalizzazione dei servizi delle pubbliche amministrazioni da parte del Governo. All’interno dei vari “decreti covid” adottati negli ultimi mesi infatti sono state inserite accanto alle norme prettamente sanitarie anche disposizioni volte a modernizzare le pubbliche amministrazioni.
Una di queste è la previsione dell’obbligo di SPID, CIE (carta di identità elettronica) o CNS (carta nazionale dei servizi) per l’accesso ai siti internet delle pubbliche amministrazioni dal 1 marzo 2021. Questa previsione è contenuta nell’art. 24 co.4 del “decreto semplificazioni” (D.L. 16 luglio 2020, n. 76 convertito nella L. 11 settembre 2020 n. 120), che interviene sul testo del Codice dell’Amministrazione Digitale.
CIE e CNS sono documenti materiali (in plastica), il loro uso presuppone il possesso di un lettore fisico e non sempre sono implementate nei siti delle PA, quindi mi concentrerò su SPID, che pare essere il vero obiettivo del legislatore (nella prima fase CIE e CNS coesisteranno con SPID, ma a regime dovrebbe restare solo SPID -ma io francamente ci credo poco-). Le considerazioni finali però sono valide indifferentemente per qualunque mezzo si consideri fra i tre possibili.
Cos’è SPID
SPID è il Sistema Pubblico di Identità Digitale. In parole semplici, è un sistema di autenticazione che permette di sapere con certezza che chi si sta autenticando a un qualunque sito o servizio internet (pubblico o privato) sia veramente chi afferma di essere.
SPID viene fornito da alcuni “provider” autorizzati, solitamente in modo totalmente gratuito per chi lo richiede. Rispetto alle tradizionali username e password aggiunge livelli di sicurezza perchè per ottenerlo non basta inviare un modulo (eventualmente accompagnato da documento di identità, come accade di solito per i siti della PA) ma serve anche il riconoscimento de visu (che alcuni fornitori di SPID offrono anche a distanza tramite webcam).
Indipendentemente dal riconoscimento necessario per il rilascio, SPID può avere tre livelli di sicurezza delle credenziali, a scelta dell’utente (che può decidere quale livello di identità procurarsi) e del gestore del sito (che può decidere quale livello di credenziali serva per poter accedere):
- Il primo livello permette di accedere ai servizi online attraverso un nome utente e una password scelti dall’utente, come siamo abituati per qualunque sito
- Il secondo livello – necessario per servizi che richiedono un grado di sicurezza maggiore – permette l’accesso attraverso un nome utente e una password scelti dall’utente, più la generazione di un codice temporaneo di accesso (one time password), fornito attraverso sms o con l’uso di un’app (fornita dal gestore di identità digitale) fruibile, ad esempio, attraverso smartphone o tablet.
- Il terzo livello di sicurezza SPID, oltre al nome utente e la password, richiede un supporto fisico particolare che gestisce delle chiavi crittografiche. Questo supporto può essere una smart card o un dispositivo per la firma digitale remota (HSM)
Evidentemente più si sale di livello più aumenta la sicurezza dell’identificazione. Per le PA quindi il vantaggio del sistema è la certezza di conoscere il proprio interlocutore, unita al fatto di non dover custodire gelosamente migliaia di credenziali (è il provider SPID a confermare che il soggetto è chi dice di essere). Per il cittadino il vantaggio è avere UNA sola password e non decine, ognuna diversa per ogni sito.
In teoria esiste anche uno “SPID aziendale”, che dovrebbe consentire al responsabile legale di una società di richiedere e utilizzare la propria identità digitale per utilizzare i servizi online dedicati all’impresa, e di dotare i propri dipendenti di identità digitali per uso professionale della persona giuridica. Nella realtà però questo servizio non esiste assolutamente (o meglio esiste, a pagamento, ma chi lo ha comprato sostiene che non funziona).
L’obbligo di SPID per l’accesso ai siti internet delle PA
L’obbligo per i siti internet delle pubbliche amministrazioni di accettare SPID (di livello 2 o 3), CIE o CNS per l’accesso era già previsto da altre disposizioni di legge, ma nei fatti sia il legislatore che le stesse PA lo avevano messo tra le “cose da fare quando avanzano tempo e soldi”. In genere i pochi siti che avevano introdotto l’uso di SPID lo avevano fatto in occasione di adeguamenti più ampi dei loro servizi: intervenire solo per questo motivo, su siti vecchi con codice e applicativi nuovi, infatti spesso è una cosa complicata e con risultati insoddisfacenti (come cucire un pezzo di stoffa nuova su un vestito vecchio). Inoltre quando SPID era stato implementato si aggiungeva agli altri metodi di accesso, non era mai l’unico disponibile.
Come dicevo, il decreto semplificazioni ha cambiato tutto, imprimendo un’accelerazione inattesa. Il suo art. 24 co.4 infatti stabilisce che “…dal 28 febbraio 2021 è fatto divieto … di rilasciare o rinnovare credenziali per l’identificazione e l’accesso dei cittadini ai propri servizi in rete, diverse da SPID, CIE o CNS, fermo restando l’utilizzo di quelle già rilasciate fino alla loro naturale scadenza e, comunque, non oltre il 30 settembre 2021”.
Questo significa che al più tardi dal 28 febbraio 2021 tutti i siti internet delle PA non potranno più rilasciare nuove credenziali di accesso diverse da SPID, e che quelle già rilasciate potranno essere usate al più tardi fino al 30 settembre 2021. Quindi dal 1 marzo 2021 le nuove registrazioni potranno avvenire esclusivamente con SPID, mentre dal 1 ottobre 2021 anche i soggetti registrati in precedenza potranno usare solo SPID e non più le vecchie credenziali per autenticarsi ai servizi pubblici.
Stavolta l’obbligo di SPID è stato posto in modo perentorio, con una data precisa e soprattutto come obiettivo strategico per il Paese, quindi è ragionevole prevedere che non ci saranno proroghe. Come vedremo, molti siti internet sono già stati adeguati.
Le conseguenze pratiche
Le conseguenze di questa novità sono molteplici e vanno molto oltre la “scocciatura” non da poco di dotarsi di un nuovo sistema di autenticazione (in genere ottenere SPID, specie con credenziali di II e III livello non è una procedura banale).
In moltissime PA infatti esistono situazioni al limite della legalità per cui un soggetto, tipicamente il dirigente (ma anche i RUP pigri), si registra al sito internet (es. di ANAC, INPS, piattaforma dei crediti commerciali ecc.) poi comunica le credenziali d’accesso al funzionario/operatore e nei fatti è quest’ultimo a compiere tutte le operazioni al posto del soggetto rappresentato.
In genere chi opera sui siti lo fa nel totale disinteresse del soggetto registrato, che di solito si giustifica dicendo “Tizio è fidato, non ho tempo per queste cose, non è il mio lavoro, non ci capisco nulla, tanto ne rispondo comunque io sia che operi io sia che operino altri quindi conviene che lo faccia chi lo sa fare meglio”. A volte è lo stesso operatore che pretende di usare le credenziali altrui per paura o rapidità, o invocando motivazioni formali (“non ho il livello per figurare all’esterno”) o economiche (“per prendermi una responsabilità del genere mi devono dare qualcosa in più!”).
Bene, con l’avvento di SPID tutto questo non sarà più possibile.
Cedere le nostre credenziali di un sito significava permettere a un soggetto di impersonarci su QUEL sito. Cedere le credenziali SPID significa cedere la propria identità tout court, ossia permettere a chi ha le nostre credenziali di potersi sostituire a noi sempre e DOVUNQUE, vedere il fascicolo sanitario, la denuncia dei redditi, i dati pensionistici, le pagelle dei figli, le multe ricevute… qualunque cosa. E’ assolutamente impensabile e se io sconsigliavo da sempre il passaggio “allegro” delle credenziali, adesso devo deprecarlo con la massima fermezza.
Cedere l’identità SPID (tipicamente si fa lasciando che un altro usi il SUO smartphone per ottenere SPID per noi, prestandosi solo al momento del riconoscimento de visu) equivale a un suicidio.
La conseguenza è che dal 1 ottobre (o prima, come vedremo) potranno accedere a e operare sui siti web delle PA solo le persone effettivamente registrate su di essi. O il dirigente sarà fisicamente presente accanto a noi al momento di ogni singolo login ogni giorno (poi se ne andrà mentre noi lavoriamo impersonandolo) o dovrà operare lui.
Oppure, caso più frequente, dovremo registrarci e autenticarci noi con il nostro SPID personale.
Oppure, ultima possibilità, i siti web dovranno essere predisposti in modo che ci sia un responsabile, in genere il dirigente, che si registra (con SPID) poi delega degli operatori a fare tutte o alcune delle operazioni in nome suo. Un esempio di sito già strutturato così è il MEPA con i punti istruttori e il punto ordinante. O la PCC, o SIMOG (in cui i RUP devono essere confermati dal dirigente). In ogni caso tutti indistintamente dovranno usare SPID.
Un cambiamento già in atto
Come dicevo, stavolta l’obbligo è stato preso sul serio. Vari enti hanno già predisposto i loro siti per SPID, ed altri hanno comunicato la tempistica dei loro adeguamenti.
INPS
L’INPS è stata la prima ad attivare l’accesso esclusivo SPID al proprio sistema. Dal 1 ottobre 2020 infatti ha smesso di rilasciare il PIN necessario per l’accesso al sito, salvo che per i minori, gli stranieri e le persone soggette a tutela o curatela.
Dal 1 settembre 2021 l’accesso con PIN resterà attivo solo per i profili di utenza “cittadino” mentre sarà disabilitato per gli altri (PA, consulenti ecc.).
Per dare tempo agli utenti di procurarsi SPID, i PIN già in possesso dei cittadini restano validi e potranno essere rinnovati alla loro scadenza fino alla conclusione della “fase transitoria” la cui data verrà successivamente definita, ma che comunque non potrà superare il 30 settembre 2021 al più tardi.
CLICLAVORO
Il Ministero del Lavoro ha disposto già a settembre che l’accesso a Cliclavoro avvenisse esclusivamente tramite SPID con decorrenza dall’11 novembre 2020, smettendo di rilasciare i vecchi codici PIN il 6 novembre.
La decisione di anticipare tanto i tempi è stata dettata dalla convinzione che la stragrande maggioranza degli utenti del portale (patronati, consulenti del lavoro e simili) possiedano già SPID in quanto professionisti. Non hanno considerato però che uno studio con molti dipendenti avrà gli stessi problemi del dirigente pubblico che descrivevo prima…
ANPAL
L’Agenzia di politiche attive per il lavoro ANPAL ha comunicato che dall’11 gennaio 2021 la registrazione sul sito dei nuovi utenti My Anpal avverrà solo con i sistemi SPID, CIE e CNS. Quindi anticiperà i termini di legge di un mese e mezzo.
INAIL
L’INAIL ha seguito un approccio diverso: ha scelto di differenziare le date di avvio del sistema “SPID-only” a seconda dell’utenza.
Dal 1 dicembre 2020 l’utenza professionale (ossia patronati, agronomi e dottori forestali, agrotecnici e agrotecnici laureati, avvocati, CAF imprese, Centri servizi per il volontariato, Consorzi Società Cooperative, consulenti del lavoro, dottori commercialisti ed esperti contabili, periti agrari e periti agrari laureati, raccomandatari marittimi, servizi di associazione -Non società, servizi di associazione –Società, società capogruppo, società tra professionisti, tributaristi, revisori e altri professionisti per imprese senza dipendenti) dovrà già accedere solo con SPID.
Dal 1 marzo 2021 potranno accedere solo con SPID le pubbliche amministrazioni in Gestione per conto Stato. Per gli altri soggetti già registrati resteranno provvisoriamente valide le vecchie credenziali (mentre se dovranno registrarsi ex novo servirà SPID).
A maggio INAIL si riserva di rendere obbligatorio SPID per altre categorie di utenti.
Successivamente, al più tardi il 1 ottobre 2021, SPID diventerà obbligatorio anche per gli ultimi vecchi utenti rimasti.
Conclusioni e suggerimenti
Non sono a conoscenza di altre determinazioni di pubbliche amministrazioni, quindi se non mi sono persa qualcosa (e non lo escludo) significa che seguiranno le tempistiche dettate dalla legge.
Il 28 febbraio sembra lontano, ma non lo è. Il mio consiglio spassionato, sia ai dirigenti pubblici sia a tutti coloro che operano sui siti web delle PA, è di cominciare a fare quanto necessario per procurarsi un’identità SPID senza aspettare l’ultimo momento. E poi, una volta ottenuta, cominciare a usarla qua e là per impratichirsi. Anche se non obbligatorio, infatti, SPID è già accettato in molti siti e si possono fare tutte le prove di accesso che si vogliono.
Fatto questo, bisogna creare in tutti i siti che lo permettono le utenze per gli operatori effettivi del sistema. Ad es. INAIL permette la creazione della figura del delegato, Acquistinrete dei punti istruttori, e così via. In questo modo quando arriverà il giorno del passaggio obbligatorio a SPID potremo continuare a lavorare senza subire rallentamenti per la necessità di avere sempre accanto l’unica persona registrata su ogni sito, con il suo SPID sempre a disposizione.
Ovviamente, dal 1 ottobre 2021 anche i dirigenti più refrattari all’informatica dovranno rassegnarsi a svolgere personalmente alcune operazioni, quantomeno i login.
Per restare informati sui prossimi articoli, iscrivetevi alla newsletter!
Poiché SPID è disponibile solamente per i cittadini italiani maggiorenni mi pare di capire che ci potranno essere problemi per quelle pubbliche amministrazioni che intendono offrire (o che già offrono) ‘servizi in rete per le quali è necessaria una identificazione informatica’ ad una platea più vasta di persone, ovvero anche a cittadini stranieri e/o minorenni. Ad esempio le Università e le Biblioteche, con studenti e studiosi stranieri.
Vero. L’uso di spid è obbligatorio (e tecnicamente possibile) solo per i ‘cittadini’. Gli stranieri possono continuare ad accedere con le modalità precedenti… se qualcuno si ricorda che esistono anche loro. INPS ad es. ha già detto che a stranieri e persone legalmente incapaci continuerà a rilasciare le credenziali tradizionali, a tutti gli altri no.
un altro obbligo per le PA è previsto dal regolamento europeo Eidas. i cittadini stranieri devono poter accedere con le loro identità digitali riconosciute e le PA italiane devono aderire al nodo eidas italiano https://eid.gov.it
un elenco delle PA che hanno aderito è pubblicato qui https://www.eid.gov.it/servizi
Ma avendo solo lo SPID come si fa ad attivare l’ambiente di sicurezza del desktop telematico se non si dipone del codice e del pin dell’Agenzia?
Penso che il DT non subirà modifiche. Altrimenti dovranno spiegare come comportarsi. Alla peggio predisposti i file si caricheranno manualmente nel cassetto fiscale dopo essere entrati con SPID ma la parte prima non penso che cambierà.
Ma con la CIE carta di identità elettonica si puo’ accedere comunque ai siti PA? Si puo’ continuare ad utilizzarla vero? dentro la CIE c’é uno SPID di terzo livello o sbaglio?
Con la CIE si può accedere ai siti della PA (accanto al login spid dovrebbe esserci il login CIE. CIE non è una spid di livello 3, c’è stata una proposta di equiparazione in questo senso in Parlamento ma credo sia stata accantonata come tecnicamente infattibile.
Salve a tutti.
Vorrei chiedere due cose, se possibile:
1. Esistono delle eccezioni all’obbligo di SPID, vale a dire esistono delle credenziali che possono essere rilasciate anche dopo il 28 febbraio, ad esempio per attività non classificabili come “servizi” o comunque non rientranti nella definizione della normativa?
2. Nell’articolo si parla anche di SPID usato internamente da impiegati, funzionari e dirigenti, se non ho capito male. Leggendo il CAD (ar.t 64) trovo riferimento esclusivamente a “cittadini” ed “utenti” (o al massimo “imprese” e “professionisti”). Ci sono degli altri riferimenti dove si evince l’obbligo di adozione di SPID anche internamente?
Un immenso ringraziamento è doveroso semplicemente per l’opera resa con la realizzazione di questo sito e di quello che si propone di offrire. Ringrazio anche anticipatamente per la disponibilità che si vorrà mostrare se fosse possibile rispondere a questo mio commento.
Cordiali saluti.
Gabriele
Che io sappia non vi sono eccezioni, e il governo ha insistito molto sull’uso a tappeto di Spid come leva per la digitalizzazione della PA italiana in generale, quindi immagino che se interpellati direbbero che Spid va usata anche internamente, anzi pure di più. Il CAD effettivamente parla solo di generici “utenti” ma forse per i gestori dei siti web pubblici è più semplice predisporre l’accesso solo con SPID che tenere in piedi più sistemi in parallelo. Qualcuno però potrebbe anche ricorrere all’interpretazione letteralissima e dire che per gli ‘interni’ si possono continuare ausare le vecchie psw. Comunque la domanda è interessante, io proverei a formularla qua, dove ci sono i creatori di spid. https://forum.italia.it/c/spid/5
Grazie infinite per la pronta risposta! Ho posto il quesito sul sito che mi ha consigliato.
Speriamo che qualcuno le risponda, allora 🙂
Buongiorno Gabriele,
mi sono posto anche io la tua stessa domanda; hai per caso ricevuto risposta al tuo quesito posto nel forum indicato?
Grazie
Federico
Scusate, e quei siti pubblici che si appoggiano a siti di privati per gestire dei particolari servizi, come sistemi di prenotazione e altro, questi siti privati devono obbligatoriamente prevedere lo SPID? che so sia a pagamento su siti privati, ma così blocchi la possibilità dei privati di lavorare col pubblico, dato che se un ente si avvale di uno strumento potente, ma privato, dove è necessario un minimo di autenticazione utente, si eleverà il costo del servizio offerto, soldi che non finiscono ne al privato ne all’ente, ma allo stato. La vedo molto dura
So che c’è chi sostiene che in questi casi non serva spid, ma a mio avviso fa fede il servizio, non il soggetto che lo eroga (cioè a chi si appoggia l’ente pubblico.) Che l’autenticazione avvenga sul sito pubblico, se si vuol risparmiare.
Il mio responsabile sta cambiando a noi dipendenti le mansioni. Mi ha detto a parole non per iscritto che dalla prossima settimana dovrò accedere al sito dell’agenzia delle entrate per visualizzare ed esportare dati aziendali utilizzando le mie credenziali il mio spid. E’ corretto o rischio delle conseguenze ad utilizzare il mio spid? L’azienda non mi ha fatto firmare nulla e non penso abbia inviato comunicazioni all’agenzia delle entrate.
Se non è stato comunicato il suo nominativo all’Agenzia quale referente-delegato per il suo ente, quando accederà col suo SPID lei potrà vedere solo la sua posizione personale. Pertanto qualcosa di ufficiale o c’è o dovrà esserci sicuramente. Se questo è stato fatto, dopo l’accesso potrà selezionare per quale ‘profilo’ desidera operare, il suo personale o quello dell’ufficio.
Salve, la scadenza dle 30/09/21 per la disattivazione delle credenziali alternative a spid è confermata? ma vale per tutte le amministraizoni ? perchè alcune stanndo indicando apputno questa scadenza altri non la stanno prendendo in considerazione.
grazie
Salve. Sì, vale per tutte. Qualcuna prende tempo interpretando l’obbligo come rivolto solo ai soggetti esterni alla PA quindi pare volerlo ignorare per chi non è “cittadino” o “intermediario”. Credo però che sotto traccia tutti stiano lavorando per adeguare i loro siti anche per gli enti, anche se probabilmene ci riusciranno in ritardo.
Buongiorno,
dalla lettura della normativa personalmente ritengo che l’accesso ai siti della PA deve avvenire obbligatoriamente attraverso SPIC, CIE o CNS secondo le scadenze che conosciamo.
Mi viene posta l’eccezione (un “mi sembra di aver letto”) relativamente a una specifica sezione di un sito della PA che richiede la registrazione degli utenti per l’accesso ma che offre servizi gratuiti.
Trattandosi di una sezione posta in dominio di terzo livello a cui si accede con registrazione e trattandosi comunque di una PA non vedo eccezioni di sorta non ritenendo che la gratuità dei servizi possa essere una esimente. Mi sfugge qualcosa? Esiste un riferimento normativo con un elenco di “eccezioni” (al di là di quelle previste per cittadini stranieri e altre particolari tipologie di utenti di cui si è trattato sopra)?
Grazie per le eventuali indicazioni.
Che io sappia, un elenco simile non c’è. Poi, molti stanno rincorrendo presunte eccezioni perchè sono in ritardo nell’adeguamento dei siti. A mio avviso, per prima cosa bisogna adeguare quelli che erogano servizi ‘importanti’. Ma una volta che quelli sono a posto vanno messi a norma anche quelli che chiedono la registrazione per cose più banali.
É lecito per una PA imporre ai propri dipendenti l’utilizzo dello spid personale (e quindi del cellulare personale) per accedere ai gestionali del medesimo ente per lavorare? E se una mattina il cellulare del dipendente smette di funzionare? Grazie
Sul fatto che il lavoratore debba usare la propria identità personale, è inevitabile. C’è una legge che impone l’accesso ai siti pubblici son SPID-CIE-CNS.
Sulla questione del cellulare, nella quasi totalità dei siti abilitati a SPID si può anche usare la carta di identità elettronica o la carta dei servizi (che è la tessera sanitaria ‘attivata’ come CNS) al posto di SPID. Serve un lettore di card abilitato e si può fare a meno del cellulare.
L’alternativa del cellulare d’ufficio può aggirare il problema del cell personale del dipendente, ma poi la persona dovrebbe usare il cellulare d’ufficio per identificarsi con SPID per i suoi fini personali (es.per il sito della scuola dei figli), perchè è legata a quell’hardware.
Salve, esiste un riferimento normativo che consente al dipendente pubblico di rifiutarsi di utilizzare la propria SPID personale (anche se delegato dal Dirigente ad accedere al servizio per conto dell’Amministrazione), nelle more dell’attivazione della ELDUP PG?
No.
Cosa fare quando il sito istituzionale del proprio comune dopo tanto tempo ancora non permette di entrare con spid(e in qualunque altro modo..),non ha mai funzionato e non permette nemmeno di iscriversi normalmente,ho provato a chiedere info direttamente in ufficio e mi hanno risposto (non cooscendo neanche l’esistenza del sito ..) che non mi serviva…che potevo usare l’app Io….incredibile….chi posso informare di questa mancanza di rispetto per il cittadino?
Contatti il difensore civico digitale. Nei grandi comuni c’è, altrimenti credo che ce ne sia uno in ogni Regione.
buongiorno, quando mi collego per accedere all’P.A mi dicono: accessi con spid esauriti sino al 30/6/2022. che faccio ?
Probabilmente lei ha uno spid che usa gli SMS come one time password, e il numero è limitato. Consiglio o di usare la tessera sanitaria, o di scaricare l’app del suo SPID così da accedere senza sms