01 OTT - A partire dal 1° ottobre p.v., gli Ordini territoriali dovranno prevedere che i servizi pubblici soggetti ad accesso riservato sui propri siti informatici, avvengano unicamente con identificazione dei cittadini a mezzo dei citati SPID (Servizio Pubblico di Identità Digitale), CIE (Carta d’Identità Elettronica) o CNS (Carta Nazionale dei Servizi).

Si precisa, in proposito, che la Federazione ha richiesto alla società Studiofarma, che realizza il software gestionale OrdineP e la rete intranet federale, di provvedere, entro il suddetto termine, all’adeguamento a tale adempimento di legge del modulo relativo alla presentazione informatizzata delle domande di iscrizione o di altri servizi ai cittadini. Studiofarma ha confermato che l’implementazione è in corso di perfezionamento, con conseguente rilascio a breve della versione aggiornata del software dopo l’autorizzazione dell’AGID.
 
Per quanto concerne, invece, l’accesso ad ulteriori servizi digitalizzati offerti ai farmacisti dopo l’iscrizione (si pensi al sistema informatico di gestione della scheda personale degli iscritti), il termine per l’obbligatorietà dell’uso dei sistemi di identità digitale è differito alla data fissata nei decreti del Presidente del Consiglio dei ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione, che, una volta pubblicati in Gazzetta Ufficiale, saranno oggetto di apposita circolare federale. In merito, infatti, è recentemente intervenuta una modifica normativa (comma 7 dell’articolo 10 del D.L. 121/2021), che, riformulando il comma 3-bis dell’articolo 64 del CAD, ha previsto un regime diverso per l’accesso di imprese e professionisti ai servizi digitali delle PP.AA., come individuate dall’art. 1, comma 2, del D.Lgs. 165/2001.

Al fine di consentire a tutti i farmacisti iscritti all’Albo di ottenere lo SPID attraverso una procedura dedicata e semplificata, che sia gestita dagli Ordini territoriali, la Federazione sta facendo realizzare un’ulteriore implementazione all’interno di OrdineP.

Il software sarà dotato, infatti, di un modulo aggiuntivo opzionale, denominato “OrdineP-RAO”, che consentirà agli Ordini che decideranno di aderirvi di diventare soggetti incaricati alla verifica dell’identità personale degli utenti che vogliono dotarsi dello SPID (Registration Authority Officer-RAO). Tale attività delle pubbliche amministrazioni è stata espressamente prevista dall’AgID (Agenzia per l’Italia Digitale), che ha emanato delle apposite Linee Guida per il modello di RAO pubblico, consentendo alle pubbliche amministrazioni interessate di svolgere questa importante attività sul territorio (per informazioni dettagliate si vedano il link ed il link.
 
Il sistema informatico in corso di realizzazione prevede che i farmacisti possano recarsi presso l’Ordine per farsi riconoscere e per ricevere via e-mail, successivamente, un file (token) utilizzabile a distanza per richiedere e ottenere l’identità SPID presso uno dei gestori di identità digitale (Identity Provider-IdP), utilizzando automaticamente i dati presenti nell’Albo dell’Ordine senza richiedere l’inserimento manuale da parte dell’operatore.
Al momento, gli Identity Provider abilitati da AgID al rilascio dello SPID sono: Aruba ID, Infocert ID, Intesa ID, Lepida ID, Namirial ID, PosteID, SieteID, SPIDItalia Register.it e Tim ID. Saranno utilizzati, per generare il token, i dati obbligatori degli utenti che sono indicati al punto 3.3 delle suddette Linee Guida di AgID.
 
Il modulo OrdineP-RAO opera nel seguente modo:
- estrae i dati dell’iscritto necessari alla compilazione della scheda anagrafica per la generazione del token da OrdineP;
- genera il token in chiaro;
- genera una passphrase secondo le modalità tecniche richieste da AgID;
- utilizza questa passphrase per cifrare il token in chiaro e generare un token cifrato;
- associa il codice fiscale dell’utente al token cifrato e genera il token completo
- appone il sigillo elettronico associato all’Ordine al token completo, generando infine il token sigillato;
- il token sigillato viene inviato via PEC all’iscritto come allegato, con le indicazioni che il token ha validità di 30 giorni dalla data di generazione;
- l’operatore consegna all’utente metà della passphrase in modalità cartacea (o altro canale) e metà viene inviata all’indirizzo e-mail fornito dall’utente unitamente alle indicazioni per consultare le brochure, realizzate ed aggiornate dagli IdP,
reperibili sul sito ufficiale SPID;
- l’iscritto una volta ricevuto il token sigillato si collega all’IdP di sua scelta ed effettua l’upload del file ricevuto via PEC (il token sigillato);
- l’IdP effettua la verifica del sigillo e del periodo di validità (entro 30 giorni dalla data di generazione) e richiede all’utente l’inserimento della passphrase. L’utente ha 5 tentativi di inserimento della passphrase. In caso di invalidazione si dovrà ricominciare la procedura di generazione da parte della vostra entità;
- in caso di inserimento positivo, l’IdP effettua tutti gli ulteriori controlli formali e in caso di successo emette il certificato di identità digitale secondo le modalità specifiche da esso previste.

Al punto 3.9 delle citate Linee Guida AgID sono indicate le responsabilità che si assumono i RAO pubblici, inerenti, in particolare, alla corretta verifica dell’identità personale dell’utente e al mantenimento delle evidenze per individuare il singolo operatore che ha effettuato il riconoscimento dell’utente per il periodo di cui all’art. 36, comma 6, del DPCM 22 febbraio 2013 (ossia 20 anni come gli altri dati inseriti nel c.d. “Giornale di controllo”), nonché la garanzia di un’adeguata formazione degli operatori incaricati alla verifica dell’identità degli utenti, ivi inclusa l’informativa in merito alle procedure applicative e alle responsabilità di natura civile e penale nelle quali potrebbero incorrere nello svolgimento di tale attività.
Il sistema, pertanto, traccia tutte le operazioni effettuate ed in particolare:
- genera automaticamente i dati per il token e li cifra;
- prevede l’apposizione del sigillo elettronico;
- garantisce la collocazione temporale della compilazione della scheda anagrafica;
- invia automaticamente la pec con allegato il token sigillato;
- assicura l’individuazione dell’operatore che ha autorizzato la generazione del flusso;
- garantisce la sicurezza dei dati gestiti;
- gestisce la scadenza del periodo di attivazione del token;
- consente la rigenerazione del token in caso di superamento della scadenza.
 
Si comunica, infine, che la Federazione ha posto uno specifico quesito all’AgID per avere conferma che non sia necessario per le pubbliche amministrazioni dotarsi di SPID per accedere ai servizi resi da altre pubbliche amministrazioni.
Infatti, sia l’articolo 64 del CAD, sia l’articolo 24 del D.L. 76/2020, sia l’articolo 10 del D.L. 121/2021, sembrano riferire il citato obbligo di utilizzo delle identità digitali soltanto ai cittadini, alle imprese o ai professionisti (quest’ultime due categorie, peraltro, in attesa dei sopraindicati decreti applicativi).
Sarà cura della Federazione fornire aggiornamenti in merito, non appena perverrà l’apposito parere dell’AgID.