SPID per professionisti e aziende: come funziona, come si attiva

Guida allo SPID Professionale, la soluzione dedicata ai professionisti e alle imprese che hanno la necessità di accedere ai servizi online della Pubblica Amministrazione

2 Ottobre 2023 10:41
Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

SPID per professionisti e aziende: come funziona, come si attiva
Fonte: 123RF

Lo SPID professionale vuole permettere a professionisti ed aziende di accedere ai servizi della PA e degli Enti privati aderenti, e di interagire con loro in modo più efficiente e veloce, grazie alla possibilità di trasmettere informazioni dettagliate e ufficiali, necessarie per lo scambio di determinati servizi, documenti e prestazioni.

Lo SPID professionale

L’AGID ha definito le linee guida per normare le modalità di rilascio delle identità digitali per uso professionale cui i gestori di identità digitali del sistema SPID devono attenersi. Identità digitali utili a provare l’appartenenza di una persona fisica all’organizzazione di una persona giuridica e la sua qualità di professionista.

Le identità in questione, al contrario, precisa l’AGID, non costituiscono prova dei poteri di rappresentanza di una persona giuridica dei quali una persona fisica è eventualmente in possesso né l’appartenenza di un professionista a un determinato ordine professionale o altro elenco qualificatore.

Lo SPID Professionale è la soluzione dedicata:

  • ai professionisti
  • alle imprese

che hanno la necessità di accedere ai servizi online della Pubblica Amministrazione, e ad altri servizi essenziali aderenti al circuito SPID, per lo svolgimento dell’attività lavorativa.

I 4 tipi di SPID

  • Lo SPID Personale o di Tipo 1 è riservato ai cittadini privati e si usa per gestire i rapporti con la Pubblica Amministrazione, la Sanità, la Regione, la Scuola e gli Enti Privati.
  • Lo SPID di Tipo 2 chiamato anche SPID Aziendale costituisce un’identità basata sui dati di un soggetto giuridico. Non riporta i dati della persona fisica. Non è attualmente in uso.
  • Lo SPID Professionale o di Tipo 3 o 4, invece, è riservato a Liberi Professionisti, Partite IVA e Aziende di ogni tipo e si usa per gestire i rapporti, per la propria attività o i propri clienti, con la Pubblica Amministrazione e gli Enti Privati.

In particolare:

  • SPID Professionale di Tipo 3 è pensato per Professionisti e Partite IVA e racchiude sia i dati della persona fisica, sia eventuali attributi che caratterizzano la professione, permettendo l’accesso a servizi professionali che richiedono solo i dati della Persona Fisica.
  • SPID Azienda Professionale di Tipo 4, invece, è pensato per le Aziende e rilasciato ad una persona fisica, a cui vengono associati anche i dati della persona giuridica per cui opera. Permette l’accesso ai servizi che richiedono i dati sia della Persona Fisica che della Persona Giuridica.

Abbiamo, così, due tipi differenti di SPID professionale, definiti dalle linee guida AGID:

  • Identità digitale uso professionale della persona fisica, ovvero “identità digitale che contiene gli attributi della persona fisica cui sono state rilasciate le credenziali di autenticazione”. Questo caso è quello più consono ai liberi professionisti.
  • Identità digitale uso professionale per la persona giuridica, in particolare l’ “identità digitale che contiene gli attributi della persona giuridica e della persona fisica cui sono state rilasciate le credenziali di autenticazione”. È pensato per persone fisiche che operano per conto di una persona giuridica.

È chiaro che una singola persona potrà possedere più SPID da utilizzarsi in diversi contesti.

Che cosa è lo SPID professionale

Lo SPID ad uso Professionale consente di accedere a tutti i servizi della PA che richiedono espressamente un accesso con SPID Professionale, ma nel caso dello SPID professionale per persone fisiche non preclude l’accesso a tutti i servizi di tipo Personale.

Tale tipologia di SPID è usato dalle organizzazioni che vogliono chiedere ai propri collaboratori di dotarsi di una identità SPID per scopi lavorativi e accedere ai servizi abilitati, evitando l’utilizzo in contesti professionali di uno strumento pensato per un uso privato, come lo SPID personale.

Lo SPID Professionale consente a chi lo utilizza un’autenticazione univoca e sicura poiché contiene informazioni sulla persona fisica, qualificandone un utilizzo professionale.

Come viene rilasciato

Non contenendo informazioni sull’entità giuridica per la sua attivazione non serve nessuna certificazione societaria, consentendo una procedura snella e tempistiche di rilascio veloci.

Attenzione va, tuttavia, prestata al fatto che a seconda del gestore SPID scelto dall’impresa o dal professionista ci saranno:

  • dei costi di acquisto dello SPID per uso professionale
  • delle modalità di identificazione possibili.

Secondo le Linee Guida dell’Agid per il rilascio dello SPID professionale, le regole da seguire per i gestori sono:

  • per l’identità digitale uso professionale della persona fisica, il gestore dell’identità deve verificare l’identità personale della persona fisica richiedente. La verifica dell’identità è assolvibile anche attraverso un servizio in rete accessibile con l’uso di identità digitale SPID della medesima persona fisica, a condizione che le credenziali utilizzate per l’autenticazione siano state rilasciate dallo stesso IdP al quale vengono richieste le credenziali per uso professionale e siano di livello pari o superiore a quelle richieste.
  • per l’identità digitale uso professionale per la persona giuridica il gestore dell’identità deve:
    a) verificare l’identità personale della persona fisica richiedente;
    b) verificare che il richiedente abbia titolo per richiedere l’identità digitale per la persona giuridica.

Quali sono i gestori

I  gestori di Identità digitale che forniscono l’identità digitale SPID per uso professionale sono:
Aruba, Infocert, Lepida, Namirial, Poste Italiane, Register e TeamSystem, che consentono lo stato di implementazione SPID ad uso professionale della persona fisica, ma solo Lepida, Register e Team System prevedono l’attivazione dello SPID ad uso professionale della persona giuridica.

Come si crea uno SPID professionale

Le Linee Guida dell’AGID definiscono le verifiche necessarie per uno SPID professionale:

La verifica dell’identità è assolvibile anche attraverso un servizio in rete accessibile con l’uso di identità digitale SPID della medesima persona fisica, a condizione che le credenziali utilizzate per l’autenticazione siano state rilasciate dallo stesso IdP – il gestore dell’identità digitale SPID – al quale vengono richieste le credenziali per uso professionale e siano di livello pari o superiore a quelle richieste”.

Al fine di rilasciare l’identità digitale uso professionale per la persona giuridica il gestore dell’identità deve:

  • verificare l’identità personale della persona fisica richiedente;
  • verificare che il richiedente abbia titolo per richiedere l’identità digitale per la persona giuridica.

La verifica di cui al primo punto è effettuata con le modalità e i controlli previsti dalla normativa vigente in materia di rilascio dell’identità digitale della persona fisica.

La verifica di cui al secondo punto è effettuata con modalità preventivamente sottoposte dal gestore dell’identità ad AgID per l’approvazione.

Il gestore dell’identità digitale SPID che demanda ad una organizzazione la verifica dell’identità dei soggetti cui fornire l’identità digitale uso professionale per la persona giuridica, deve:

  1. formalizzare l’impegno da parte dell’organizzazione al rispetto di tutti gli obblighi di legge derivanti dal RGPD e, per quanto di competenza, degli obblighi afferenti alla verifica dell’identità del soggetto cui si rilascia tale identità digitale;
  2. assicurarsi che i trattamenti dei dati da parte dei gestori siano disciplinati da un contratto o da altro atto giuridico ai sensi dell’art. 28 del RGPD;
  3. fornire le istruzioni necessarie ai gestori per svolgere l’attività cui sono designati nel rispetto della normativa vigente in materia e dei vincoli giuridici derivanti dall’accordo stipulato con l’organizzazione;
  4. assicurarsi che i gestori siano consapevoli delle conseguenze penali derivanti dal furto di identità;
  5. assicurarsi che i gestori siano consapevoli che le credenziali loro fornite sono strettamente personali e che rispondono delle conseguenze del loro utilizzo improprio;
  6. assicurarsi che i gestori siano consapevoli che le operazioni effettuate sono tracciate;
  7. assicurarsi che i gestori siano consapevoli del divieto assoluto di operare o avere le credenziali sia in qualità di utente di governo che di utente di gestione ( i) utenza di governo: identità digitale uso professionale per la persona giuridica abilitata per l’accesso al sistema di gestione delle identità; ii) utenza di gestione: identità digitale uso professionale per la persona giuridica abilitata per l’accesso al sistema di gestione delle identità);
  8. rendere disponibile online un servizio che consenta ai gestori di revocare immediatamente le proprie credenziali, modificare la password, verificare le operazioni effettuate con le proprie credenziali;
  9. acquisire l’impegno formale dell’organizzazione di garantire che nessun operatore possa operare sia in qualità di utente di governo sia di utente di gestione e, per quanto di competenza, che le credenziali dei gestori siano utilizzate esclusivamente dai legittimi titolari;
  10. acquisire l’impegno formale dell’organizzazione a richiedere l’immediata revoca delle credenziali dei gestori nel caso in cui abbia rilevato un utilizzo promiscuo delle stesse ovvero nel caso in cui il titolare della stessa lasci l’organizzazione;
  11. acquisire la presa d’atto e l’accettazione da parte dell’organizzazione in merito al divieto assoluto di dotare il medesimo soggetto di utenza di governo e di utenza di gestione;
  12. inviare all’organizzazione via posta elettronica certificata una comunicazione mensile con cui sono comunicati i codici fiscali dei soggetti cui è stata rilasciata l’identità digitale per uso professionale per la persona giuridica, la data di rilascio, l’evidenza delle identità rilasciate nel periodo, l’indicazione dei gestori che hanno concorso al rilascio, nonché quelle cui sono state rilasciate tutte le utenze di gestione e dell’utenza di governo attualmente attive.

La procedura per l’ottenimento dell’identità è analoga a quanto messo a punto per il tradizionale SPID personale.

Per farne richiesta sono sufficienti:

  • Codice Fiscale (Tessera Sanitaria)
  • Carta d’Identità da esibirsi in caso di video-riconoscimento
  • oppure quanto richiesto dai singoli strumenti nel caso si opti per riconoscimento con Firma Digitale, Tessera Sanitaria (CNS) o Carta d’Identità Elettronica (CIE).

Sarà, inoltre, richiesta la disponibilità di uno smartphone o una email, ove saranno inviati i codici di verifica utili all’attivazione dell’identità digitale.

A cosa serve

Così come accade per lo SPID privato, anche in ambito professionale, è sempre più ampio il numero di servizi attivi, ai quali accedere attraverso lo SPID professionale, per alleggerire e velocizzare il rapporto tra PA, imprese e cittadini.

Sicuramente è rilevante lo SPID professionale per accedere al Cassetto Digitale dell’imprenditore, per visionare documenti come visure, atti, bilanci, stato delle pratiche e molto altro materiale relativo alla azienda che si rappresenta.
Oppure all’Agenzia delle Accise, Dogane e Monopoli, il cui accesso “è riservato ai soggetti che devono compilare, trasmettere e consultare periodicamente le informazioni delle Dichiarazioni in ambito Dogane, Accise e INTRA”, per il pagamento di diritti doganali, delle accise o di saldi dei concessionari di giochi pubblici, oppure per accedere a servizi per chi effettua scambi internazionali o per regolare dichiarazioni Intrastat.

Tag: Guide Imprenditoria