Uno degli effetti  più dirompenti del COVID-19 è stata la spinta tanto forte quanto improvvisa verso la “trasformazione digitale” del Paese, ed in particolare verso la digitalizzazione dei servizi delle pubbliche amministrazioni da parte del Governo. All’interno dei vari “decreti covid” adottati negli ultimi mesi infatti sono state inserite accanto alle norme prettamente sanitarie anche disposizioni volte a modernizzare le pubbliche amministrazioni.

Una di queste è la previsione dell’obbligo di SPID, CIE (carta di identità elettronica) o CNS (carta nazionale dei servizi) per l’accesso ai siti internet delle pubbliche amministrazioni dal 1 marzo 2021. Questa previsione è contenuta nell’art. 24 co.4 del “decreto semplificazioni” (D.L. 16 luglio 2020, n. 76 convertito nella L. 11 settembre 2020 n. 120), che interviene sul testo del Codice dell’Amministrazione Digitale.

CIE e CNS sono documenti materiali (in plastica), il loro uso presuppone il possesso di un lettore fisico e non sempre sono implementate nei siti delle PA, quindi mi concentrerò su SPID, che pare essere il vero obiettivo del legislatore (nella prima fase CIE e CNS coesisteranno con SPID, ma a regime dovrebbe restare solo SPID -ma io francamente ci credo poco-). Le considerazioni finali però sono valide indifferentemente per qualunque mezzo si consideri fra i tre possibili.

Cos’è SPID

SPID è il Sistema Pubblico di Identità Digitale. In parole semplici, è un sistema di autenticazione che permette di sapere con certezza che chi si sta autenticando a un qualunque sito o servizio internet (pubblico o privato) sia veramente chi afferma di essere.

L'obbligo di SPID

SPID viene fornito da alcuni “provider” autorizzati, solitamente in modo totalmente gratuito per chi lo richiede. Rispetto alle tradizionali username e password aggiunge livelli di sicurezza perchè per ottenerlo non basta inviare un modulo (eventualmente accompagnato da documento di identità, come accade di solito per i siti della PA) ma serve anche il riconoscimento de visu (che alcuni fornitori di SPID offrono anche a distanza tramite webcam).

Indipendentemente dal riconoscimento necessario per il rilascio, SPID può avere tre livelli di sicurezza delle credenziali, a scelta dell’utente (che può decidere quale livello di identità procurarsi) e del gestore del sito  (che può decidere quale livello di credenziali serva per poter accedere):

  • Il primo livello permette di accedere ai servizi online attraverso un nome utente e una password scelti dall’utente, come siamo abituati per qualunque sito
  • Il secondo livello – necessario per servizi che richiedono un grado di sicurezza maggiore – permette l’accesso attraverso un nome utente e una password scelti dall’utente, più la generazione di un codice temporaneo di accesso (one time password), fornito attraverso sms o con l’uso di un’app (fornita dal gestore di identità digitale) fruibile, ad esempio, attraverso smartphone o tablet.
  •  Il terzo livello di sicurezza SPID, oltre al nome utente e la password, richiede un supporto fisico particolare che gestisce delle chiavi crittografiche. Questo supporto può essere una smart card o un dispositivo per la firma digitale remota (HSM)

Evidentemente più si sale di livello più aumenta la sicurezza dell’identificazione. Per le PA quindi il vantaggio del sistema è la certezza di conoscere il proprio interlocutore, unita al fatto di non dover custodire gelosamente migliaia di credenziali (è il provider SPID a confermare che il soggetto è chi dice di essere). Per il cittadino il vantaggio è avere UNA sola password e non decine, ognuna diversa per ogni sito.

In teoria esiste anche uno “SPID aziendale”, che dovrebbe consentire al responsabile legale di una società di richiedere e utilizzare la propria identità digitale per utilizzare i servizi online dedicati all’impresa, e di dotare i propri dipendenti di identità digitali per uso professionale della persona giuridica. Nella realtà però questo servizio non esiste assolutamente (o meglio esiste, a pagamento, ma chi lo ha comprato sostiene che non funziona).

L’obbligo di SPID per l’accesso ai siti internet delle PA

L’obbligo per i siti internet delle pubbliche amministrazioni di accettare SPID (di livello 2 o 3), CIE o CNS per l’accesso era già previsto da altre disposizioni di legge, ma nei fatti sia il legislatore che le stesse PA lo avevano messo tra le “cose da fare quando avanzano tempo e soldi”. In genere i pochi siti che avevano introdotto l’uso di SPID lo avevano fatto in occasione di adeguamenti più ampi dei loro servizi: intervenire solo per questo motivo, su siti vecchi con codice e applicativi nuovi, infatti spesso è una cosa complicata e con risultati insoddisfacenti (come cucire un pezzo di stoffa nuova su un vestito vecchio). Inoltre quando SPID era stato implementato si aggiungeva agli altri metodi di accesso, non era mai l’unico disponibile.

Come dicevo, il decreto semplificazioni ha cambiato tutto, imprimendo un’accelerazione inattesa. Il suo art. 24 co.4 infatti stabilisce che “…dal 28 febbraio 2021 è fatto divieto … di rilasciare o rinnovare credenziali per l’identificazione e l’accesso dei cittadini ai propri servizi in rete, diverse da SPID, CIE o CNS, fermo restando l’utilizzo di quelle già rilasciate fino alla loro naturale scadenza e, comunque, non oltre il 30 settembre 2021”.

Questo significa che al più tardi dal 28 febbraio 2021 tutti i siti internet delle PA non potranno più rilasciare nuove credenziali di accesso diverse da SPID, e che quelle già rilasciate potranno essere usate al più tardi fino al 30 settembre 2021. Quindi dal 1 marzo 2021 le nuove registrazioni potranno avvenire esclusivamente con SPID, mentre dal 1 ottobre 2021 anche i soggetti registrati in precedenza potranno usare solo SPID e non più le vecchie credenziali per autenticarsi ai servizi pubblici.

Stavolta l’obbligo di SPID è stato posto in modo perentorio, con una data precisa e soprattutto come obiettivo strategico per il Paese, quindi è ragionevole prevedere che non ci saranno proroghe. Come vedremo, molti siti internet sono già stati adeguati.

Le conseguenze pratiche

Le conseguenze di questa novità sono molteplici e vanno molto oltre la “scocciatura” non da poco di dotarsi di un nuovo sistema di autenticazione (in genere ottenere SPID, specie con credenziali di II e III livello non è una procedura banale).

In moltissime PA infatti esistono situazioni al limite della legalità per cui un soggetto, tipicamente il dirigente (ma anche i RUP pigri), si registra al sito internet (es. di ANAC, INPS, piattaforma dei crediti commerciali ecc.) poi comunica le credenziali d’accesso al funzionario/operatore e nei fatti è quest’ultimo a compiere tutte le operazioni al posto del soggetto rappresentato.

In genere chi opera sui siti lo fa nel totale disinteresse del soggetto registrato, che di solito si giustifica dicendo “Tizio è fidato, non ho tempo per queste cose, non è il mio lavoro, non ci capisco nulla, tanto ne rispondo comunque io sia che operi io sia che operino altri quindi conviene che lo faccia chi lo sa fare meglio”. A volte è lo stesso operatore che pretende di usare le credenziali altrui per paura o rapidità, o invocando motivazioni formali (“non ho il livello per figurare all’esterno”) o economiche (“per prendermi una responsabilità del genere mi devono dare qualcosa in più!”).

Bene, con l’avvento di SPID tutto questo non sarà più possibile.

Cedere le nostre credenziali di un sito significava permettere a un soggetto di impersonarci su QUEL sito. Cedere le credenziali SPID significa cedere la propria identità tout court, ossia permettere a chi ha le nostre credenziali di potersi sostituire a noi sempre e DOVUNQUE, vedere il fascicolo sanitario, la denuncia dei redditi, i dati pensionistici, le pagelle dei figli, le multe ricevute… qualunque cosa. E’ assolutamente impensabile e se io sconsigliavo da sempre il passaggio “allegro” delle credenziali, adesso devo deprecarlo con la massima fermezza.

Cedere l’identità SPID (tipicamente si fa lasciando che un altro usi il SUO smartphone per ottenere SPID per noi, prestandosi solo al momento del riconoscimento de visu) equivale a un suicidio.

La conseguenza è che dal 1 ottobre  (o prima, come vedremo) potranno accedere a e operare sui siti web delle PA solo le persone effettivamente registrate su di essi. O il dirigente sarà fisicamente presente accanto a noi al momento di ogni singolo login ogni giorno (poi se ne andrà mentre noi lavoriamo impersonandolo) o dovrà operare lui.

Oppure, caso più frequente, dovremo registrarci e autenticarci noi con il nostro SPID personale.

Oppure, ultima possibilità, i siti web dovranno essere predisposti in modo che ci sia un responsabile, in genere il dirigente, che si registra (con SPID) poi delega degli operatori a fare tutte o alcune delle operazioni in nome suo. Un esempio di sito già strutturato così è il MEPA con i punti istruttori e il punto ordinante. O la PCC, o SIMOG (in cui i RUP devono essere confermati dal dirigente). In ogni caso tutti indistintamente dovranno usare SPID.

Un cambiamento già in atto

Come dicevo, stavolta l’obbligo è stato preso sul serio. Vari enti hanno già predisposto i loro siti per SPID, ed altri hanno comunicato la tempistica dei loro adeguamenti.

INPS

L’INPS è stata la prima ad attivare l’accesso esclusivo SPID al proprio sistema. Dal 1 ottobre 2020 infatti ha smesso di rilasciare il PIN necessario per l’accesso al sito, salvo che per i minori, gli stranieri e le persone soggette a tutela o curatela.

Per dare tempo agli utenti di procurarsi SPID, i PIN già in possesso degli utenti restano validi e potranno essere rinnovati alla loro scadenza fino alla conclusione della “fase transitoria” la cui data verrà successivamente definita, ma che comunque non potrà superare il 30 settembre 2021 al più tardi.

CLICLAVORO

Il Ministero del Lavoro ha disposto già a settembre che l’accesso a Cliclavoro avvenisse esclusivamente tramite SPID con decorrenza dall’11 novembre 2020, smettendo di rilasciare i vecchi codici PIN il 6 novembre.

La decisione di anticipare tanto i tempi è stata dettata dalla convinzione che la stragrande maggioranza degli utenti del portale (patronati, consulenti del lavoro e simili) possiedano già SPID in quanto professionisti. Non hanno considerato però che uno studio con molti dipendenti avrà gli stessi problemi del dirigente pubblico che descrivevo prima…

ANPAL

L’Agenzia di politiche attive per il lavoro ANPAL ha comunicato che dall’11 gennaio 2021 la registrazione sul sito dei nuovi utenti My Anpal avverrà solo con i sistemi SPID, CIE e CNS. Quindi anticiperà i termini di legge di un mese e mezzo.

obbligo di spidINAIL

L’INAIL ha seguito un approccio diverso: ha scelto di differenziare le date di avvio del sistema “SPID-only” a seconda dell’utenza.

Dal 1 dicembre 2020 l’utenza professionale (ossia patronati, agronomi e dottori forestali, agrotecnici e agrotecnici laureati, avvocati, CAF imprese, Centri servizi per il volontariato, Consorzi Società Cooperative, consulenti del lavoro, dottori commercialisti ed esperti contabili, periti agrari e periti agrari laureati, raccomandatari marittimi, servizi di associazione -Non società,  servizi di associazione –Società, società capogruppo, società tra professionisti, tributaristi, revisori e altri professionisti per imprese senza dipendenti) dovrà già accedere solo con SPID.

Dal 1 marzo 2021 potranno accedere solo con SPID le pubbliche amministrazioni in Gestione per conto Stato. Per gli altri soggetti già registrati resteranno provvisoriamente valide le vecchie credenziali (mentre se dovranno registrarsi ex novo servirà SPID).

A maggio INAIL si riserva di rendere obbligatorio SPID per altre categorie di utenti.

Successivamente, al più tardi il 1 ottobre 2021, SPID diventerà obbligatorio anche per gli ultimi vecchi utenti rimasti.

Conclusioni e suggerimenti

Non sono a conoscenza di altre determinazioni di pubbliche amministrazioni, quindi se non mi sono persa qualcosa (e non lo escludo) significa che seguiranno le tempistiche dettate dalla legge.

Il 28 febbraio sembra lontano, ma non lo è. Il mio consiglio spassionato, sia ai dirigenti pubblici sia a tutti coloro che operano sui siti web delle PA, è di cominciare a fare quanto necessario per procurarsi un’identità SPID senza aspettare l’ultimo momento. E poi, una volta ottenuta, cominciare a usarla qua e là per impratichirsi. Anche se non obbligatorio, infatti, SPID è già accettato in molti siti e si possono fare tutte le prove di accesso che si vogliono.

Fatto questo, bisogna creare in tutti i siti che lo permettono le utenze per gli operatori effettivi del sistema. Ad es. INAIL permette la creazione della figura del delegato, Acquistinrete dei punti istruttori, e così via. In questo modo quando arriverà il giorno del passaggio obbligatorio a SPID potremo continuare a lavorare senza subire rallentamenti per la necessità di avere sempre accanto l’unica persona registrata su ogni sito, con il suo SPID sempre a disposizione.

Ovviamente, dal 1 ottobre 2021 anche i dirigenti più refrattari all’informatica dovranno rassegnarsi a svolgere personalmente alcune operazioni, quantomeno i login.

 

Per restare informati sui prossimi articoli, iscrivetevi alla newsletter!

Licenza Creative Commons

5 Comments

  1. Poiché SPID è disponibile solamente per i cittadini italiani maggiorenni mi pare di capire che ci potranno essere problemi per quelle pubbliche amministrazioni che intendono offrire (o che già offrono) ‘servizi in rete per le quali è necessaria una identificazione informatica’ ad una platea più vasta di persone, ovvero anche a cittadini stranieri e/o minorenni. Ad esempio le Università e le Biblioteche, con studenti e studiosi stranieri.

    Andrea G
    1. Vero. L’uso di spid è obbligatorio (e tecnicamente possibile) solo per i ‘cittadini’. Gli stranieri possono continuare ad accedere con le modalità precedenti… se qualcuno si ricorda che esistono anche loro. INPS ad es. ha già detto che a stranieri e persone legalmente incapaci continuerà a rilasciare le credenziali tradizionali, a tutti gli altri no.

      FunzionarioAmministrativo
  2. Ma avendo solo lo SPID come si fa ad attivare l’ambiente di sicurezza del desktop telematico se non si dipone del codice e del pin dell’Agenzia?

    Marco Chiarparin
    1. Penso che il DT non subirà modifiche. Altrimenti dovranno spiegare come comportarsi. Alla peggio predisposti i file si caricheranno manualmente nel cassetto fiscale dopo essere entrati con SPID ma la parte prima non penso che cambierà.

      FunzionarioAmministrativo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.