Accesso ai servizi delle pubbliche amministrazione tramite SPID di Ateneo

A seguito del processo di adozione delle identità digitali - SPID e CIE (Carta d'identità Elettronica) per l’accesso ai servizi digitali delle Pubbliche Amministrazioni, avviato già negli scorsi anni a livello nazionale, dall’1/1/2024 anche il portale e le piattaforme necessarie all’acquisizione di beni e servizi richiedono l’accesso tramite le suddette identità digitali.

Sia SPID che CIE, strumenti di identificazione pubblici previsti dall’Agenzia per l’Italia Digitale (AgID), consentono l’autenticazione e l’accesso con differenti livelli di sicurezza, dipendentemente dal contesto:

• L1 – livello 1: username e password
• L2 – livello 2: username, password e codice OTP
• L3 – livello 3: username, password, codice OTP e dispositivo fisico

Per l’accesso alle piattaforme di altre amministrazioni, quindi, i dipendenti delle Pubbliche Amministrazioni e di conseguenza delle Università dovranno usare uno degli strumenti sopra indicati, SPID e/o CIE.

AgID ha previsto 4 tipologie di SPID:

• Tipo 1. Identità digitale della persona fisica (veicola solo i dati della persona fisica)
• Tipo 2. Identità digitale della persona giuridica (veicola solo i dati afferenti alla persona giuridica)
• Tipo 3. Identità digitale ad uso professionale della persona fisica (veicola solo i dati della persona fisica)
• Tipo 4. Identità digitale ad uso professionale per la persona giuridica (veicola solo i dati della persona fisica e della persona giuridica)

A seguito di un approfondimento e di un’analisi tecnica svolta dai referenti informatici delle Università Italiane (per eventuali approfondimenti si rimanda alla nota CoDAU allegata, inviata il 19 gennaio 2024 a tutti gli Atenei italiani), nel contesto Universitario alla data odierna, oltre alla CIE si applica efficacemente e nella quasi totalità dei casi lo SPID di Tipo 1 Livello di sicurezza 2. 

Lo SPID di tipo 1 è quello che la singola persona può richiedere ai differenti Identity Provider, anche in modo gratuito, ed è riferito alla propria identità come persona fisica, similmente a quanto accade per CIE. Come la carta di identità, una identità SPID Tipo 1 rappresenta l’identità della persona in tutte le situazioni della propria vita, indipendentemente dai differenti ambiti in cui si trova ad operare (personale o lavorativo).

Come rilevato dall’analisi menzionata in precedenza a livello nazionale, nel contesto degli Atenei italiani, l’uso dell’identità digitale Tipo 1 da parte dei dipendenti appare del tutto sufficiente poiché, a valle dell’autenticazione dell’utente, l’autorizzazione per l’accesso ai servizi dell’organizzazione e la sua corretta profilazione vengono garantite da processi di qualificazione strutturati:

• l’accesso ai servizi digitali interni avviene a valle di un processo di qualificazione (o di modifica) del ruolo e della afferenza organizzativa della persona.
• l’accesso ai servizi digitali esterni – provinciali, regionali, nazionali o europei – avviene a valle di un processo di qualificazione della persona – online o tramite apposite comunicazioni - nello spazio dedicato all’organizzazione all’interno della piattaforma offerta dal servizio digitale esterno.

Si ritiene pertanto che l’adozione di identità digitali professionali non comporti alcun vantaggio, sia per l’Ateneo che per il dipendente, visto che nella configurazione dell'identità professionale non vengono definiti né il ruolo, né l’afferenza organizzativa, né le capacità organizzative del soggetto nel particolare contesto applicativo, ma viene identificata la persona fisica e l’organizzazione di appartenenza.

A questo si aggiunge il fatto che tali identità digitali professionali consentono l’accesso alle piattaforme nazionali allo stesso modo di quanto avviene con l’utilizzo del proprio SPID personale (ad es. nel sito INPS, in fase di autenticazione, vengono recepiti solo i dati personali dalla piattaforma INPS anche in caso di uso di SPID professionale).

Solo per specifici siti e piattaforme, relativi ad esempio all’accesso a dati giudiziari, viene richiesto invece l’accesso con livello di sicurezza L3 (username, password, codice OTP e dispositivo fisico). In questi casi di effettiva e documentata necessità, l’Area Servizi Informatici e Telematici può dare supporto attraverso una coda ticket (percorso: ASIT - Ufficio Applicativi -  SPID per accesso altre PA) ed eventualmente rilasciare identità SPID con livello di sicurezza L3.

Tramite tale coda ticket, ASIT comunque fornirà assistenza e consulenza sull’uso delle identità digitali SPID e CIE.