Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Rendere la Tessera Sanitaria una identità SPID, un passo necessario

Home PA Digitale Servizi Digitali Rendere la Tessera Sanitaria una identità SPID, un passo necessario

Perché le amministrazioni dovrebbero gestire con modalità tecniche e operative diverse sia la Tessera Sanitaria che le credenziali SPID? Ecco come operare per rendere a tutti gli effetti la TS una credenziale conforme a SPID. L’integrazione di TS in SPID presenta solo vantaggi

2 Aprile 2016

A

Alessandro Osnaghi, Università di Pavia

Si contano in questi giorni decine di articoli, considerazioni e commenti su SPID, che in quanto approccio innovativo alla complessa tematica della gestione dell’identità si presta ad ogni genere di semplificazioni e di critiche spesso superficiali, quando non totalmente infondate, che tuttavia produrranno il sicuro effetto di aumentare la confusione tra gli utenti e la probabilità di insuccesso del sistema.

Nella gran massa di interventi può essere sfuggita a molti l’importanza non solo formale della adesione a SPID dichiarata dal direttore Orlandi, Agenzia delle Entrate: “Spid elemento di svolta per la semplificazione dei servizi”della Agenzia delle Entrate che rappresenta uno dei principali, se non il principale, erogatori di servizi pubblici in rete destinati a tutti i cittadini, finora accessibili con credenziali proprie e che saranno resi accessibili anche con credenziali SPID.

A questo punto si impone una riflessione sul ruolo della Agenzia delle Entrate e in generale del MEF. Attualmente infatti Sogei svolge per conto della Agenzia delle Entrate tutti i compiti assegnati a un identity provider e provvede sia al provisioning delle credenziali che vengono fornite gratuitamente a tutti i cittadini, sia alla autenticazione. Per assicurare la transizione al digitale è fondamentale che esista un fornitore pubblico di credenziali gratuite.

Come sappiamo attualmente Sogei provvede anche al provisioning gratuito a tutti i cittadini della tessera sanitaria TS (sostitutiva della precedente carta regionale dei servizi) che in base alla normativa vigente dovrebbe essere accettata da tutte le amministrazioni centrali e territoriali come Carta Nazionale dei Servizi.

Se prescindiamo dalle considerazioni sui motivi tecnici, organizzativi e gestionali per cui le credenziali basate su smartcard crittografiche hanno nella pratica una fruibilità limitata all’utilizzo di stazioni di lavoro appositamente configurate, resta il fatto che TS è un dispositivo che dovrà essere accettato per l’accesso a tutti i servizi erogati in particolare dalle pubbliche amministrazioni territoriali (Regioni e Comuni) e che quindi risponde alla narrazione, imprecisa tecnicamente ma tutta politica, sul PIN unico. L’identità digitale infatti non è unica nel senso che un soggetto ne può avere una sola, ma è unica nel senso che con la stessa identità è possibile accedere ai servizi di tutte le amministrazioni. TS assicura quindi il fondamentale diritto dei cittadini di ottenere uno strumento gratuito di accesso ai servizi al massimo livello di garanzia (livello 3).

Per poter utilizzare i servizi in modo flessibile o in mobilità, probabilmente i cittadini si doteranno di più identità digitali (si spera non più di 2 o 3) per diversi livelli di garanzia considerando che al livello 3 già dispongono della TS che a norma d legge – come anche per le credenziali SPID – deve essere accettata da tutte le amministrazioni. Non si pone un problema di concorrenza con gli Identity Provider privati, i quali non avranno interesse a distribuire al livello 3 altre credenziali basate su smartcard e chip crittografici, che presentano le note limitazioni d’uso.

Viene allora spontaneo chiedersi perché le amministrazioni dovrebbero gestire con modalità tecniche e operative diverse sia la TS che le credenziali SPID e come operare per rendere a tutti gli effetti la TS una credenziale conforme a SPID.

Per proporre una lettura della TS in chiave SPID è utile approfondire alcuni aspetti concettuali e tecnici. TS è un dispositivo che risponde ai requisiti di una identità digitale SPID al livello di garanzia 3 e, come detto, è distribuita gratuitamente a livello nazionale tramite una procedura che implica il riconoscimento a vista presso le ASL. La sua valenza di carta sanitaria e di tesserino fiscale ne garantisce l’accettazione e la fiducia da parte dei cittadini.

Per conto della Agenzia delle Entrate, Sogei svolge comunque funzioni tipiche di un identity provider, senza al momento rispettare gli standard tecnici di un Identity Provider SPID.

Per la TS al momento Sogei svolge solo una parte (il provisioning) delle funzioni di un Identity Provider e per adeguarsi al modello SPID dovrebbe farsi carico anche della funzione di autenticazione per conto di tutte le altre amministrazioni, funzione che peraltro già svolge limitatamente ai servizi erogati da MEF- Agenzia delle Entrate. Se lo facesse il beneficio economico per tutte le amministrazioni territoriali sarebbe enorme, per non parlare degli aspetti di sicurezza.

L’idea di utilizzare le credenziali fiscali per accedere ai servizi di altre amministrazioni fu sperimentata circa 10 anni fa (su mio impulso) dal Comune di Roma che consentiva l’acceso ai propri servizi anche con le credenziali di livello 1 allora distribuite dalla Agenzia delle Entrate (Fisco online) e posso affermare senza timore di smentita che, date le competenze di Sogei, la implementazione delle soluzioni necessarie sarebbe un gioco da ragazzi.

L’integrazione di TS in SPID presenta solo vantaggi e creerebbe finalmente un quadro di serietà e di coerenza nel tormentato campo dell’accesso ai servizi erogati in rete dalle amministrazioni e sarebbe di grande vantaggio soprattutto per le amministrazioni territoriali.

Questa soluzione renderebbe inutilmente costoso e privo di senso imporre per legge a tutte le amministrazioni di accettare anche la CIE come ulteriore dispositivo di accesso di livello 3. La CIE dovrebbe restare uno strumento di identità personale finalizzato alle esigenze di pubblica sicurezza, problematica che in tutta evidenza non ha nulla a che fare con l’Agenda digitale del Paese,

La normativa relativa alla CIE potrebbe con vantaggi per tutti uscire dal CAD per rientrare nella legislazione specifica che riguarda i documenti di identificazione personale. Si rimedierebbe così dopo 20 anni a un vero e proprio peccato di arroganza di politici e legislatori che finora è servito solo a sperperare denaro e in cui sarebbe diabolico ricadere.




Su questo argomento

Come rendere smart la pubblica amministrazione: l’opinione di Pure Storage