Digitalizzazione appalti: ANAC risponde ad ANCI

Accesso alle PAD e al MEPA

Autenticazione: Si ritorna sull'argomento dell'accesso alle PAD e al MEPA con sistemi diversi dallo SPID, alla luce di alcuni approfondimenti svolti anche con i titolari delle Piattaforme. Alla luce delle Regole tecniche con i "Requisiti tecnici e modalità di certificazione delle Piattaforme di approvvigionamento digitale" predisposte da AGID, si ricava che le modalità di accesso sono definite in due passaggi. Il primo attiene al paragrafo "3.3.1 Requisiti funzionali generali (Classe 2-a)" 3.3.1.1 Accesso digitale alla piattaforma [3.3.1.1-1] La piattaforma deve consentire l'identificazione degli utenti tramite i meccanismi di identificazione elettronica SPID e CIE. [3.3.1.1-2] La piattaforma deve consentire l'identificazione elettronica degli utenti anche tramite altri meccanismi, in conformità alla normativa vigente. In particolare, per gli utenti europei, la piattaforma dovrebbe utilizzare le funzionalità del nodo elDAS italiano [FICEP]. [3.3.1.1-3] I meccanismi di autenticazione ulteriori di cui al [3.3.1.1-2] resi disponibili dalla piattaforma devono essere classificati dal Titolare secondo una propria valutazione, rispetto alle definizioni di livello di garanzia dello standard ISO/IEC 29115 (LOA2, LoA3 0 LoA4). Dall'esame della regola appare evidente che la PAD deve consentire l'identificazione con sistemi corrispondenti alla classificazione dello standard ISO/ IEC 29115 tra cui è ricompreso il livello LoA2, corrispondente all'utilizzo di un sistema di autenticazione con nome utente e password. Viceversa, solo quando l'attività comporta l'interazione con ANAC, la regola tecnica obbliga all'utilizzo dello SPID o CIE, come da paragrafo che segue. [3.4-2] La piattaforma deve identificare la persona fisica che effettua operazioni sulla piattaforrna che comportano l'utilizzo di e-service ANAC. L'identificazione deve avvenire tramite SPID o CIE, o altro mezzo di identificazione elettronica rilasciato nell'ambito di un regime di identificazione elettronica compreso nell'elenco pubblicato dalla Commissione a norma dell'articolo 9 del Regolamento [elDAS]. E' stato verificato che tale diverso metodo di accesso/ autenticazione è reso disponibile da alcune PAD, ma assolutamente non consentito da CONSIP. Ciò appare non conforme alle specifiche tecniche sopra riportate.La risposta di ANAC

La piattaforma Acquistinretepa è stata realizzata in conformità alle regole tecniche emanate da Agid per quanto concerne l’obbligo di assicurare l’accesso tramite identità digitale SPID/CIE/EIDAS. In tal senso, si precisa che anche in virtù di tale conformità, la suddetta piattaforma ha ottenuto la certificazione di Agid che garantisce il rispetto delle regole tecniche elaborate da Agid stessa per la certificazione delle piattaforme. Nel caso specifico, occorre notare che le suddette regole non risultano vincolanti, invece, rispetto all’ implementazione di meccanismi di autenticazione ulteriori di cui al [3.3.1.1-2] - che pertanto ogni piattaforma –secondo ragioni di opportunità - ha facoltà di prevedere o meno. L’obbligatorietà di implementazione di meccanismi di autenticazione ulteriori trova applicazione unicamente per gli utenti extra eidas non dotati di identità digitali SPID/CIE/EIDAS.

Si rappresenta inoltre che il paragrafo [3.4-2] stabilisce l’obbligo di identificazione tramite SPID o CIE della persona fisica per le operazioni sulla piattaforma che comportano l'utilizzo di e-service ANAC ma non esclude che tale meccanismo venga previsto per tutte le funzionalità della piattaforma indipendentemente dall’utilizzo di eservice ANAC. Si rappresenta, infine, che in sede di sviluppo della nuova piattaforma Acquistinretepa avvenuta in data antecedente all’adozione delle Linee guida Agid, le policy di sicurezza definite per la piattaforma Acquistinretepa avevano già indirizzato la scelta di dismettere l’accesso tramite userid e pwd in favore di SPID/CIE/EIDAS (e a breve CND) per avere sempre certezza dell’identità digitale di chi opera a sistema, scelta che ha peraltro trovato riscontro successivamente anche nelle regole AGID.

SPID professionale: si è preso atto dell'implementazione delle modalità di accesso con SPID Professionale "persona fisica" e SPID Professionale "Persona giuridica". In merito a ciò, l'accesso tramite SPID Professionale "persona giuridica" sarà ammesso per le SSAA o rimarrà la necessità di una autenticazione per persona fisica (quindi con SPID personale o SPID professionale persona fisica)? Si ritiene necessario chiarire e semplificare.

Lo SPID professionale “persona giuridica” viene comunque rilasciato ad una persona fisica associata ad una persona giuridica; ai fini dell’autenticazione per l’accesso ai servizi delle PAD e ANAC è necessario identificare la persona fisica a cui sono associati uno o più ruoli (ad es. RUP, RASA, ecc.), pertanto l’utilizzo di tale sistema di autenticazione seppur consentito non evita l’autenticazione della persona fisica. Vedi definizioni pagg 1-2 Avviso SPID n° 18v2

La piattaforma Acquisti in Rete permette l'accesso attraverso tutte le tipologie previste nella nota Agid del 13/11/2020 che prevedono la trasmissione del Codice Fiscale, ovvero: SPID persona fisica (1) - Identità digitale della persona fisica (veicola solo i dati della persona fisica) SPID persona fisica per uso professionale (3) - Identità digitale ad uso professionale della persona fisica (veicola solo i dati della persona fisica) SPID persona giuridica per uso professionale (4) - Identità digitale ad uso professionale per la persona giuridica (veicola i dati della persona fisica e della persona giuridica). Resta escluso l’accesso con spid della persona giuridica che veicola solo i dati afferenti alla persona giuridica.