Un pannello di controllo (analogico) di una centrale elettrica
Pratiche operativeTrasformazione digitale

Gestire le piattaforme abilitanti. Indicazioni sull’uso del Selfcare di PagoPA spa

Francesco Del Castillo 0 Commenti , , , , ,

Le piattaforme abilitanti sono un elemento chiave della trasformazione digitale della pubblica amministrazione, centrale o locale che sia. Aderirvi non basta, occorre anche sfruttarle al meglio e integrarle sapientemente nei propri processi, eventualmente riadattando questi ultimi.

L’adesione alle piattaforme ha quindi bisogno di essere gestita nel tempo, per adattarsi alle esigenze che mutano nel tempo. Per qualsiasi ente è importante non perdere il controllo sulla loro amministrazione e non cedere alla tentazione di delegarla in toto a qualche fornitore.

Diamo qui qualche indicazione pratica sul Selfcare, il portale di amministrazione unificato dei prodotti PagoPA spa messo a disposizione degli enti: quali operazioni consente, a cosa servono e come ci si può organizzare.

Le piattaforme abilitanti gestite da PagoPA spa e amministrabili via Selfcare sono:

  • pagoPA;
  • app IO;
  • PDND – Piattaforma Digitale Nazionale Dati;
  • SEND – SErvizio Notifiche Digitali.

Per i primi due, precedenti alla nascita del Selfcare, gli strumenti di amministrazione nativi (tuttora funzionanti) presentano un limite davvero pesante: sono a disposizione di una sola persona (il Referente dei pagamenti pagoPA e il Referente tecnico del servizio app IO). Questa caratteristica si scontra con le esigenze di gestione che, spesso e volentieri, sono distribuite fra una pluralità di persone all’interno di un’organizzazione.

Il Selfcare: come si accede

L’URL di accesso è https://selfcare.pagopa.it. Dopo l’autenticazione con SPID o CIE l’utente ha visibilità dei prodotti su cui è abilitato. Per ogni prodotto esistono ruoli distinti che abilitano permessi diversificati. In generale, chi ha permessi di amministratore può abilitare nuovi utenti e assegnare loro prodotti e ruoli. Il primo amministratore, solitamente, è indicato nell’atto di adesione sottoscritto dal legale rappresentante dell’amministrazione aderente. Anche quest’ultimo compare, d’ufficio, come amministratore, anche se, si sa, raramente ha ruoli operativi.

Trattandosi di piattaforme informatiche (come tutto ormai), si è portati a credere che debbano essere gestite solo ed esclusivamente da chi si occupa di informatica e transizione digitale. Ciò è vero solo fino a un certo punto. Ma entriamo nei dettagli.

pagoPA

Il back-office di gestione dell’adesione a pagoPA consente principalmente di:

  • aggiungere e visualizzare i partner tecnologici[1]I partner tecnologici si aggiungono tramite la funzione “Deleghe” presente nel menu principale del Selfcare (o Area riservata).;
  • censire e gestire gli IBAN possibili destinatari di pagamento;
  • indicare l’IBAN destinato al CUP corporate;
  • recuperare le ricevute telematiche dei CUP corporate.

Queste sono le operazioni principali per mantenere funzionale l’uso della piattaforma. In particolare tenere aggiornati gli IBAN è fondamentale, anche perché ci sono tempi tecnici per attivarli e disattivarli.

Sarebbe utile che avesse accesso al back-office anche chi si occupa di contabilità.

La sezione pagoPA del Selfcare supera il Portale delle adesioni, a cui accede solo il Referente dei pagamenti che – talvolta – è stato individuato più per la sua posizione in organigramma che per l’effettiva conoscenza della piattaforma pagoPA e le attitudini operative.

–> NOTA: il recupero delle ricevute telematiche del pagamento del CUP Corporate è una funzione in via di sviluppo. I dettagli dei partner tecnologici attivi (in particolare il codice di segregazione) si vedono solo dal precedente Portale delle adesioni.

App IO

Le funzioni messe a disposizione dal Selfcare per mantenere viva e funzionante l’adesione alla piattaforma app IO sono:

  • creazione di nuovi servizi (nome, descrizione, pagine web di riferimento e, dal punto di vista informatico, IP autorizzati all’uso via API);
  • recupero di ID e APIKEY primaria e secondaria per ogni servizio attivo;
  • modifica di servizi esistenti.

ID e APIKEY servono come strumento di autenticazione per usare le API di invio dei messaggi.

Nel tempo è fondamentale mantenere aggiornate le informazioni dei servizi, per evitare link non funzionanti e, anche, per migliorare la capacità comunicativa.

Il Selfcare supera il nativo “Developer Portal” a cui accede solo una persona, tramite un’autenticazione a due fattori che invia un SMS a un numero di telefono.

PDND

Anche la presenza di un ente sulla PDND (Piattaforma Digitale Nazionale Dati o, più semplicemente, Interoperabiltà) è gestita tramite il portale unificato di PagoPA spa.

Tramite Selfcare:

  1. si consulta il catalogo della API (e-service) esposte da enti erogatori completo di documentazione (la versione pubblica su https://www.interop.pagopa.it/ non consente di veder specifiche e documentazione varia);
  2. si richiedono gli accordi di fruizione;
  3. si definiscono le finalità della fruizione;
  4. si creano i client e-service per interrogare le API esposte da un e-service;
  5. si carica il materiale crittografico necessario all’interazione con l’e-service;
  6. si censiscono gli utenti e si associano ai client.

Gli utenti sono spesso i fornitori di software e, come giusto che sia, questi non sono inseriti come “amministratori” ma come “operatori di sicurezza”. Tale ruolo può operare sui client e-service che gli sono assegnati assegnati e caricare il materiale crittografico: è buona norma che la chiave privata con cui un fornitore firma le asserzioni utili all’autenticazione sia nota solo al fornitore stesso, così non c’è alcun dubbio su chi abbia fatto le chiamate firmate con una data chiave. Allo stesso modo è corretto che un fornitore, che ha responsabilità di trattamento di dati solo per determinati ambiti comunali, non abbia accesso agli strumenti di accesso (chiavi e ID vari) che consentono l’accesso ad altri e-service che non lo riguardano. Ricordiamo che via PDND si consultano anche dati delicati.

Il metodo base di autenticazione agli e-service (API) pubblicati tramite PDND è un po’ più articolato rispetto al metodo dell’APIKEY (vedi app IO) ed è di tipo Bearer Authentication (o con token JWT).

La PDND, infatti, fa da identity provider per gli enti fruitori. L’interazione con un e-service del catalogo prevede come primo passo una chiamata alla PDND con un messaggio cifrato dalla chiave privata associata al materiale di cui al punto 5. di sopra. La PDND rilascia quindi un token JWT, di durata variabile, che va inserito poi nell’header della chiamata all’e-service. Ricordiamo anche che l’e-service (motore di interazione e dati sottostanti) non sta nella PDND ma sui sistemi dell’ente erogatore.

Caratteristiche tecniche dell’autenticazione sono descritte, oltre che nella documentazione PDND, anche sulla documentazione AgID sul Modello di Interoperabilità della pubblica amministrazione (ModI): https://www.agid.gov.it/it/infrastrutture/sistema-pubblico-connettivita/il-nuovo-modello-interoperabilita

Tramite il back-office della PDND si compiono anche operazioni necessarie all’uso dell’altro prodotto PagoPA spa: SEND. Dal punto di vista della PDND, SEND è un e-service e come tale richiede la conclusione di un accordo di fruizione, la definizione di almeno una finalità, la creazione di almeno un client e-service con materiale crittografico. Infine, l’abilitazione degli utenti alla visualizzazione del client (e al caricamento eventuale di alte chiavi crittografiche): solitamente si abilita il fornitore della soluzione che realizza l’integrazione con SEND (con ruolo “operatore di sicurezza”, ripetiamolo).

Tramite Selfcare si gestiscono anche gli e-service pubblicati dall’ente come erogatore.

SEND

Dal Selfcare di PagoPa spa (https://selfcare.pagopa.it) si accede anche al back office di SEND – SErvizio Notifiche Digitali (nuovo nome di PND – Piattaforma Notifiche Digitali).

Si tratta della web-app di base fornita da PagoPA stessa che dà accesso non solo a funzioni di amministrazione/sistemistiche ma anche a funzioni operative di notifica di atti:

  1. come funzioni “di amministrazione” e “di sistema”:
    • generare le APIKEY – fisse – che i software che inviano tramite SEND usano in aggiunta alla trafila di autenticazione PDND;
    • gestire utenti per l’accesso al back-office stesso;
    • gestire i gruppi di utenti.
  2. come funzioni “operative”:
    • caricare una notifica manualmente;
    • visualizzare e ricercare le notifiche precedentemente depositate, il loro stato e le attestazioni opponibili a terzi (presa in carico, invio avviso di ricevimento, lettura avviso di ricevimento, accesso al documento su piattaforma ecc.);
    • inserire e gestire i dati di fatturazione;
    • inserire i moduli di commessa mensili[2]Dati di fatturazione e moduli di commessa si raggiungono dal menu principale del Selfcare, voce “Fatturazione”..

In teoria, il backoffice di SEND dovrebbe consentire all’utente connesso di vedere solo le notifiche etichettate con i gruppi a cui l’utente appartiene.

Se si usa il servizio SEND tramite API a partire dai software dell’ente, in realtà, l’accesso diffuso alla web app della piattaforma potrebbe essere superfluo. Non si esclude, tuttavia, che un ente abbia automatizzato la notifica di alcune tipologie di atti mentre per altri utilizzi il caricamento manuale su piattaforma. In caso di gestione ibrida occorre senz’altro mantenere allineati i permessi (i gruppi) fra web-app ufficiale e integrazione via API. In altri termini, il sistemi di autorizzazioni e permessi sui software integrati con API devono essere coordinati e allineati con i gruppi della web-app. Diversamente, chi accede alla web-app potrebbe vedere troppo (notifiche relative a procedimenti di cui non è incaricato) o non vedere abbastanza (le notifiche dei suoi procedimenti).

Documentazione ufficiale

Su https://docs.pagopa.it è presente la documentazione ufficiale, chiara e completa, di tutti i prodotti PagoPA spa.

PagoPA spa mette a disposizione anche il DevPortal con ulteriore documentazione, di tenore più tecnico-informatico dedicato appunto agli sviluppatori (Developers): https://developer.pagopa.it/. Qui si trovano per esempio tutorial per implementare la firma digitale tramite app IO oppure per validare l’integrazione con SEND[3]Ringrazio Andrea Tironi per avermi suggerito l’aggiunta del DevPortal..

Infine, limitatamente alla piattaforma pagoPA, per chi è più interessato a strategie e prospettive dei progetti, è disponibile anche la circolare trimestrale di PagoPA spa, con tanto di roadmap sulle evoluzioni del prodotto: https://docs.pagopa.it/circolare-trimestrale/inizia-da-qui/circolare-trimestrale-pagopa.

Appendice

Un altro centro di controllo fondamentale è quello della “Federazione Entra con CIE“: diverso gestore (Ministero dell’interno + Istituto Poligrafico e Zecca dello Stato), ma medesima esigenza di tenere sotto controllo la situazione e distribuire le responsabilità all’interno dell’organizzazione. Il centro di controllo permette di:

  • fare onboarding (= aderire) sul servizio federato di autenticazione tramite Carta di identità (elettronica);
  • gestire le connessioni attive;
  • recuperare informazioni e documentazione.

Aggiungerei alla lista anche l’IndicePA (o IPA): IpaPortale (indicepa.gov.it). A memoria, in questo caso l’accesso all’area riservata è prerogativa di un solo utente.

Se avete altre segnalazioni di centri di controllo da presidiare con estrema cura, segnalatelo nei commenti.

Foto di G.C. da Pixabay

Note

Note
1 I partner tecnologici si aggiungono tramite la funzione “Deleghe” presente nel menu principale del Selfcare (o Area riservata).
2 Dati di fatturazione e moduli di commessa si raggiungono dal menu principale del Selfcare, voce “Fatturazione”.
3 Ringrazio Andrea Tironi per avermi suggerito l’aggiunta del DevPortal.
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *