Le linea guida agID prevedono che le identità SPID possano essere rilasciate anche per un uso professionale, con l’obiettivo di accelerare lo schema di identificazione elettronica nazionale non solo nei rapporti con la Pubblica Amministrazione, ma anche tra professionisti e imprese.
Vediamo nel dettaglio come funziona lo SPID ad uso professionale.
SPID ad uso professionale: come funziona
Possono richiedere un’identità SPID ad uso professionale, detta anche eiDUP, sia i liberi professionisti (e in tal caso si parlerà di eIDup per persona fisica) che qualsiasi individuo che operi per conto di un’organizzazione. In questo ultimo caso, l’identità, definita “eIDup per la persona giuridica” conterrà sia i dati relativi alla persona fisica (nome, cognome, codice fiscale, indirizzo, ecc. – presenti in qualsiasi identità SPID), ma anche gli attributi che identificano l’ente presso il quale opera il soggetto.
In entrambi i casi, sarà il professionista stesso o il dipendente dell’ente a perfezionare, anche online, il rilascio delle eIDup presso un gestore di identità SPID (detto IdP).
La differenza di questo tipo di identità rispetto allo SPID per uso personale consiste nel fatto che le organizzazioni possono stipulare accordi specifici con un IdP, e quindi essere messe nelle condizioni di indicare autonomamente all’IdP prescelto a chi, tra i propri dipendenti e collaboratori, rilasciare un eIDup per la persona giuridica. In questo caso sono le organizzazioni a mettere in atto il processo di verifica dell’identità, operando in modo analogo ad una registration authority, mentre l’IdP convenzionato emette e gestisce l’identità SPID, svolgendo un ruolo analogo a quello di certification authority.
Tutte le eIDup, secondo l’art. 5 del CAD, sono caratterizzate dalla presenza di uno specifico attributo aggiuntivo, che ne dichiara l’uso professionale.
Dal momento che tali identità sono utilizzate da professionisti o dipendenti di organizzazioni, non sono previste norme specifiche in merito alla loro gratuità.
La condivisione di credenziali in ambito lavorativo
Condividere le credenziali nel contesto lavorativo è una pratica spesso diffusa, ma vietata. Inoltre, fornire ad altri le proprie credenziali implica la possibilità di essere chiamati a rispondere di azioni effettuate dalle persone alle quali sono state cedute le proprie credenziali, oltre ad essere esposti a problemi di protezione dei dati personali: una terza persona potrebbe infatti utilizzare le credenziali per accedere ai dati personali del legittimo titolare.
Per evitare queste problematiche, le linee guida prevedono che gli IdP non possano consentire il processo di autenticazione con con eIDup per la persona giuridica, se il fornitore di servizi SPID non ha richiesto espressamente l’uso della eIDup per l’accesso al proprio servizio. Il fornitore di servizi SPID, a seguito di tale accesso, non consente al titolare dell’identità di accedere ai propri dati personali né di agire per scopi personali. In questo modo, si evita che un terzo possa accedere a dati personali altrui.
Infine, le eIDup per la persona giuridica fornite dietro richiesta dell’organizzazione contengono anche i dati identificati dell’organizzazione per conto della quale opera il soggetto titolare dell’identità, pertanto, in caso di cessazione della collaborazione, l’organizzazione deve revocare l’identità digitale a tale soggetto.
Facciamo l’esempio di un libero professionista che collabora con tre differenti organizzazioni e quindi sarà dotato, previa richiesta dei datori di lavoro, di 3 distinte eIDup per la persona giuridica. Con ciascuna eIDup il professionista potrebbe essere abilitato ad effettuare solo determinate operazioni, che lo identifichino come appartenente ad una specifica organizzazione. Per accedere invece ai servizi in rete dedicati alle persone fisiche dovrà utilizzare l’identità digitale che gli è stata rilasciata in qualità di cittadino.
A quali servizi si può accedere con uno SPID ad uso professionale
Come anticipato, un professionista può richiedere l’eIDup per la persona fisica, caratterizzata dal solo attributo che ne dichiara l’uso professionale: tale identità è sotto il pieno controllo del titolare, che non potrà trovarsi nella condizione di essere obbligato a cedere le proprie credenziali a terzi; con questa identità sarà possibile accedere anche ai servizi in rete dedicati alle persone fisiche. In tal senso gli IdP permettono di arricchire la propria identità digitale da cittadino con la funzionalità di uso professionale per la persona fisica.
Poniamo l’esempio di un avvocato che lavora sia come associato in uno studio legale che come libero professionista. Egli potrebbe avere tre identità digitali: quella rilasciatagli dallo studio, con la quale potrà operare presso il fornitore di servizi SPID in qualità di associato; quella di cui si è dotato come consulente legale, con la quale potrebbe accedere a servizi in rete in qualità di libero professionista; quella da libero cittadino, con cui consultare – per esempio – il proprio fascicolo sanitario elettronico. Le ultime due identità, come anticipato, potrebbero coincidere.
Per il rilascio dell’eIDup per persona giuridica, invece, l’organizzazione effettua in autonomia la verifica dell’identità del richiedente e l’IdP le fornisce una dashboard, tramite la quale l’organizzazione individua una serie di utenti “privilegiati” – chiamati gestori e ulteriormente distinti, nell’art. 6 e più avanti, in due categorie – che hanno il compito di indicare all’IdP i soggetti da dotare di un’eIDup per persona giuridica, fornendo i dati necessari per la creazione dell’identità digitale.
L’IdP eseguirà le procedure necessarie per associare al soggetto indicato le credenziali di autenticazione, per abilitare e associare univocamente – tramite autenticazioni a più fattori – l’eID del soggetto al proprio dispositivo mobile personale (col quale effettuare l’autenticazione), e alla propria casella di posta elettronica.
La verifica della reale disponibilità del telefono cellulare e della mail indicati dal titolare è indispensabile per ragioni di sicurezza e per consentire le comunicazioni fra IdP e titolare.
Il regime di doppio controllo
Per ridurre il rischio che l’impiegato addetto ad una determinata attività richieda impropriamente il rilascio dell’eIDup per persona giuridica a nome di un collega, le linee guida prevedono un regime di doppio controllo attraverso due distinte figure, l’utente di governo e l’utente di gestione:
- l’utente di governo, attraverso la dashboard, indica i nominativi dei soggetti che possono ottenere l’identità, ma non ne può autorizzare il rilascio;
- l’utente di gestione, dopo aver verificato l’identità del soggetto, può chiedere il rilascio dell’identità solo di un soggetto preventivamente indicato dall’utente di governo;
- l’utente di governo può visualizzare le identità rilasciate nell’ambito dell’organizzazione e chiederne la revoca.
L’organizzazione deve poi inviare periodicamente all’IdP una comunicazione in cui si elencano i soggetti ai quali è stata rilasciata l’EIDup per la persona giuridica, la data di rilascio, l’evidenza delle identità rilasciate nel periodo, l’indicazione dei gestori che hanno concorso al rilascio.
In questo modo tutte le eIDuo rilasciate possono essere tracciate durante l’intero ciclo di vita dell’identità digitale ad uso professionale.
Accesso ai servizi e protezione dei dati personali
Le eIDup trovano specifici ambiti di applicazione, sia presso i fornitori di servizi pubblici che privati, ad esempio nel caso dell’accesso ad un servizio pubblico destinato alla presentazione di istanze o dichiarazioni da parte di persone giuridiche, laddove le PA hanno la necessità di conoscere la persona che, nel contesto dell’azienda, sta presentato la documentazione. L’eIDup per la persona giuridica risponde perfettamente a questa esigenza.
Infine, per quanto riguarda la protezione dei dati personali, è bene specificare che nessun servizio dedicato al mondo non professionale, come l’iscrizione a scuola o la consultazione del fascicolo sanitario, può essere utilizzato previa autenticazione tramite un’eIDup per la persona giuridica. Questo vincolo ha lo scopo di impedire che un dipendente al quale sia stato concesso un accesso temporaneo a una eIDup possa accedere illegittimamente ai dati personali di un altro dipendente (ad esempio nel caso di una sostituzione per ferie o malattia).
Credits: Rost9/DepositPhoto