Il 6 novembre scorso sono state pubblicate da AgID le Linee guida per il rilascio dell’identità digitale per uso professionale che, per effetto dell’art. 71 del CAD, normano le identità SPID per “uso professionale” e potranno accelerare l’utilizzo del primo schema di identificazione elettronica nazionale, oltre che con la pubblica amministrazione, anche nei rapporti tra professionisti e imprese.
Come funziona
Possono essere titolari di un’identità SPID per uso professionale (da qui in poi, semplicemente, “eIDup”) sia i liberi professionisti (in questo caso “eIDup per la persona fisica”), che ogni individuo che operi per conto di un’organizzazione. In quest’ultimo caso l’identità, denominata “eIDup per la persona giuridica”, conterrà non solo gli attributi della persona fisica (nome, cognome, codice fiscale, indirizzo, ecc. – comuni a qualunque identità SPID), ma anche gli attributi che identificano l’ente presso il quale il soggetto opera. In ogni caso, sarà il professionista o dipendente stesso a perfezionare – anche online – il rilascio di tali eIDup presso un gestore di identità SPID (“IdP”). La vera differenza, nonché novità, per tale tipo di identità, consiste nel fatto che le organizzazioni possono stipulare accordi specifici con un IdP, a seguito dei quali le organizzazioni stesse vengono messe dall’IdP nella condizione di indicargli autonomamente a quali, fra i propri dipendenti o collaboratori, rilasciare a nome degli stessi un eIDup per la persona giuridica. In tal caso, sono le organizzazioni che realizzano il processo di verifica dell’identità, operando in analogia a una registration authority, mentre l’IdP convenzionato emette e gestisce l’eIDup, svolgendo il ruolo analogo a quello di certification authority.
Tutte le eIDup (art. 5) sono caratterizzate dalla presenza di uno specifico attributo aggiuntivo, che ne dichiara l’uso professionale.
Trattandosi di identità utilizzate da professionisti o dipendenti di organizzazioni, non vi è alcuna previsione in merito alla gratuità delle stesse.
Pratica vietata, ma spesso diffusa, è la condivisione di credenziali nell’ambito lavorativo. Fra l’altro, fornire le proprie credenziali ad altri, implica la possibilità di essere chiamati in causa per rispondere delle azioni effettuate dal soggetto cui si sono fornite le proprie credenziali. Tale evenienza espone inoltre a problemi di protezione dei dati personali: il terzo potrebbe utilizzarle per accedere ai dati personali del legittimo titolare. Per evitare tale evenienza, le linee guida prescrivono che gli IdP non possano consentire il processo di autenticazione con eIDup per la persona giuridica, se il fornitore di servizi SPID (“SP”) non ha richiesto espressamente l’uso della eIDup per l’accesso al proprio servizio. L’SP, a seguito di tale accesso non consente al titolare dell’identità di accedere ai propri dati personali né di agire per scopi personali. In questo modo, si evita che un terzo possa accedere a dati personali altrui.
Le eIDup per la persona giuridica, che sono fornite previa richiesta dell’organizzazione, contengono anche gli identificativi dell’organizzazione per conto della quale opera il soggetto titolare dell’identità, pertanto, allo scadere dei termini della collaborazione, l’organizzazione deve revocare l’identità digitale di cui è dotato. A titolo di esempio, un libero professionista con tre datori di lavoro differenti, potrà essere dotato, previa richiesta dei rispettivi datori di lavoro, di 4 distinte eIDup per la persona giuridica. Con ciascuna eIDup l’individuo potrebbe essere abilitato ad effettuare solo operazioni che lo riconoscano come appartenente a quella specifica organizzazione di appartenenza. Per accedere a servizi in rete dedicati alle persone fisiche, utilizzerà la propria identità digitale, quella rilasciatagli in qualità di cittadino.
A quali servizi si può accedere
Come si è detto, un professionista può richiedere l’eIDup per la persona fisica, caratterizzata dal solo attributo che ne dichiara l’uso professionale. Questa è un’identità nel pieno controllo del titolare, che non potrà trovarsi nella condizione di essere obbligato a lasciare le proprie credenziali a terzi, pertanto, con questa identità sarà possibile accedere anche ai servizi in rete dedicati alle persone fisiche. Tutto questo pone le condizioni per la realizzazione di un servizio a valore aggiunto da parte degli IdP: l’arricchimento della propria identità digitale da cittadino con la funzionalità di uso professionale per la persona fisica.
A titolo di esempio, un avvocato che opera sia come associato in uno studio legale che come libero professionista, potrebbe avere tre identità digitali: quella rilasciatagli dallo studio (presso il quale si è fatto già riconoscere ai sensi della normativa vigente), con la quale potrà operare presso SP in qualità di associato; quella di cui si è autonomamente dotato come consulente legale, con la quale potrebbe accedere a servizi in rete in qualità di libero professionista; quella da libero cittadino, con cui consultare – ad esempio – il proprio fascicolo sanitario elettronico. Le ultime due, come si è detto, potrebbero coincidere.
Al fine del rilascio dell’eIDup per persona giuridica, invece, ove l’organizzazione effettui in autonomia la verifica dell’identità del richiedente (identity proofing), l’IdP fornisce una dashboard all’organizzazione stessa, tramite la quale l’organizzazione individua una serie di utenti “privilegiati” – chiamati gestori e ulteriormente distinti, nell’art. 6 e più avanti, in due categorie – deputati a indicare all’IdP i soggetti da dotare di un’eIDup per persona giuridica, fornendo i dati necessari per la creazione dell’identità digitale.
L’IdP eseguirà delle procedure necessarie per associare al soggetto indicato le credenziali di autenticazione, tramite una “sfida” digitale (in inglese, challenge), per abilitare e associare univocamente – tramite autenticazioni a più fattori – l’eID del soggetto al proprio dispositivo mobile personale (col quale effettuare l’autenticazione), nonché la propria casella di posta elettronica (artt. 10 e 12).
La verifica della reale disponibilità del telefono cellulare e della mail indicati dal titolare è indispensabile per ragioni di sicurezza e per consentire le comunicazioni fra IdP e titolare.
Il regime di doppio controllo
Ma come ridurre il rischio che l’impiegato addetto a tale attività richieda impropriamente il rilascio dell’eIDup per persona giuridica a nome di un collega? Le linee guida prevedono un regime di doppio controllo (dual control) attraverso due distinte figure: l’utente di governo e l’utente di gestione:
- l’utente di governo, attraverso la dashboard, indica i nominativi dei soggetti eleggibili ad ottenere l’identità, ma non ne può autorizzare il rilascio;
- l’utente di gestione, previa verifica dell’identità del soggetto, può chiedere il rilascio dell’identità solo di un soggetto preventivamente indicato dall’utente di governo;
- l’utente di governo può visualizzare le identità rilasciate nell’ambito dell’organizzazione e chiederne la revoca.
Altro elemento di contrasto oltre alla segregazione dei ruoli (job segregation) è l’invio all’organizzazione a cura dell’IdP di una comunicazione periodica in cui sono elencati i soggetti (il solo codice fiscale) cui è stata rilasciata l’EIDup per la persona giuridica, la data di rilascio, l’evidenza delle identità rilasciate nel periodo, l’indicazione dei gestori che hanno concorso al rilascio.
L’intero ciclo vita di un’identità digitale per uno professionale è stato disegnato affinché tutte le eIDup rilasciate siano tracciate; la procedura di rilascio, in modo da non prevede alcun passaggio di dati personali dall’organizzazione richiedente all’IdP, è quindi privacy by design.
Accesso ai servizi e protezione dei dati personali
Veniamo ad alcune considerazioni in merito all’accesso ai servizi e alla protezione dei dati personali.
Nessun servizio destinato al mondo non professionale ( ad es., l’iscrizione a scuola) potrà essere utilizzato previa autenticazione tramite un’eIDup per la persona giuridica. Questo allo scopo di prevenire che un dipendente cui sia stato concesso un accesso temporaneo a un’eIDup (ad es., per terminare una procedura amministrativa per conto di un altro dipendente al di fuori del normale turno lavorativo) – per quanto sia una prassi sbagliata – non possa in nessun caso consentire l’accesso illegittimo dei dati personali di un dipendente da parte dell’altro.
Le eIDup trovano specifici ambiti di applicazione, sia presso fornitori di servizi (SP) pubblici che privati. Un ulteriore esempio è l’accesso ad un servizio pubblico destinato alla presentazione di istanze o dichiarazioni da parte di persone giuridiche, ove le pubbliche amministrazioni hanno la necessità di conoscere chi sia la persona che, nell’ambito dell’azienda, sta presentando la documentazione. L’eIDup per la persona giuridica risponde egregiamente a questa esigenza.
