Il Decreto 8 giugno 2023 del ministero dell’Economia e delle Finanze, recante “Modifica al decreto 30 dicembre 2020, concernente l’adozione delle modalità di accesso al Sistema TS mediante l’autenticazione a due o più fattori”, è stato pubblicato in Gazzetta Ufficiale, Serie Generale, n. 138 del 15 giugno 2023. Il disciplinare tecnico, parte del decreto, «descrive le modalità tecniche di evoluzione verso un’autenticazione forte, tra cui è compresa anche l’autenticazione a due o più fattori» necessaria per le seguenti operazioni di «trasmissione al Sistema TS da parte dei medici dei dati relativi alle prescrizioni su ricetta bianca elettronica» e «trasmissione al Sistema TS da parte delle farmacie e parafarmacie dei dati relativi alle erogazioni di farmaci prescritti su ricetta bianca elettronica».

[Se non vuoi perdere tutte le novità iscriviti gratis alla newsletter di FarmaciaVirtuale.it. Arriva nella tua casella email alle 7 del mattino. Apri questo link]

Le credenziali per l’accesso al Sistema TS

Per l’accesso al Sistema TS, i medici, le farmacie e le parafarmacie «devono essere stati preventivamente abilitati secondo procedure standard. Le credenziali di autenticazione, prodotte dal Sistema TS e contenenti utente, password da cambiare al primo accesso e Pin code, vengono distribuite da un amministratore di sistema (profilo amministratore). Tali credenziali permettono al Sistema TS di riconoscere l’utente con procedure di basic authentication. È prevista l’evoluzione della basic authentication con pincode verso un’autenticazione forte (due o più fattori, Spid/Spid professionale/Cie/Ts-Cns, certificato client mutua autenticazione etc.). Nel caso specifico dell’evoluzione dell’autenticazione per le funzionalità fruite tramite web application del Sistema TS è possibile accedere nel seguente modo: autenticazione Spid/Spid professionale/Cie/Ts-Cns tramite cui l’utente sarà indirizzato in base al codice fiscale al profilo riconosciuto e abilitato da Sistema TS».

Utilizzo dello Spid a uso professionale

Per quanto riguarda farmacie e parafarmacie, nel decreto si legge che «la soluzione prevede che una farmacia/parafarmacia esegua l’accesso utilizzando lo Spid professionale ovvero nelle more della definizione del quadro di garanzie e regole delle identità Spid ad uso professionale anche ai sensi dell’art. 64, comma 2-duodecies, del Cad, è ammesso l’utilizzo di identità Spid ad uso personale escludendo l’uso di dati personali attinenti alla sfera privata del soggetto (quali, ad esempio, e-mail personali, numeri di cellulare personali, domicilio privato, etc.) forniti dai gestori dell’identità digitale (Identity Provider). L’identità digitale del titolare può essere utilizzata allo stesso modo in cui attualmente l’utenza della farmacia/parafarmacia è legata al codice fiscale del titolare. Pertanto, il titolare deve provvedere all’accesso per tutte le farmacie a lui associate. È possibile richiedere l’accesso “delegato” attraverso cui i dipendenti di una farmacia/parafarmacia sono incaricati dal titolare a eseguire l’accesso per conto della farmacia stessa, ma utilizzando la propria identità digitale».

L’impatto sull’operatività della farmacia

Come indicato nello stesso decreto, «nel caso specifico dell’evoluzione dell’autenticazione dei web services è previsto un periodo transitorio in cui sarà comunque ancora supportata l’autenticazione di base con Pin code contemporaneamente alla nuova soluzione. La durata del transitorio dipende dalla velocità di adeguamento dei software degli utenti e dell’acquisizione dei dati di contatto dagli utenti». Nell’atto si legge che, «nel caso di sistema regionale che agisce come intermediario tra l’utente e il Sac, il sistema regionale si autentica al Sac in mutua autenticazione con certificato client. Il sistema regionale deve utilizzare un Saml profile su Ws-Security che contiene gli attributi qualificanti del soggetto che si è autenticato al sistema regionale: codice identificativo del soggetto e livello di autenticazione. Tale profilo è inviato nelle transazioni che il sistema regionale effettua verso il Sac. Il sistema regionale può richiedere in alternativa l’adozione del modello di interoperabilità ModiPA». Inoltre, «nel caso di utente che si connette direttamente al Sac utilizzando i web services tramite client applicativo (senza intermediazione del sistema regionale), è necessario prevedere preliminarmente l’acquisizione dei dati di contatto dagli utenti: indirizzi e-mail in quanto attualmente non presenti nel Sac». Quanto alle modalità di acquisizione dei dati, si rimanda all’atto integrale pubblicato nella sezione “Documenti allegati”.

A cosa serve la cosiddetta “autenticazione forte”

L’autenticazione forte è un sistema di verifica dell’identità digitalmente più avanzato e sicuro, concepito per contrastare le minacce inerenti all’uso delle tecnologie informatiche e dell’Internet. Esso agisce come uno scudo protettivo nei confronti delle azioni malevole che mirano a compromettere la privacy e la sicurezza delle informazioni degli utenti. Nella prassi dell’interazione digitale, l’autenticazione forte garantisce un livello di protezione superiore rispetto a quello fornito dai tradizionali metodi di autenticazione, che solitamente prevedono l’uso di una singola forma di verifica, come una password. Quest’ultima, infatti, può essere indovinata, rubata o persino forzata attraverso tecniche di hacking sofisticate, esponendo i dati dell’utente a potenziali violazioni. L’obiettivo principale dell’autenticazione forte è quello di minimizzare queste minacce, offrendo un meccanismo di protezione multilivello. Questo sistema combina più metodi di autenticazione provenienti da diverse categorie di credenziali, come l’informazione che l’utente conosce (es. password), l’informazione che l’utente possiede (es. una smart card) o l’informazione legata all’utente stesso (es. impronta digitale).

Come funziona l’autenticazione a due fattori

È utile ricordare che l’autenticazione a due fattori (2Fa) è una specifica implementazione dell’autenticazione forte, che richiede due diversi metodi di autenticazione per verificare l’identità di un utente. Questo processo di validazione a due livelli rende molto più difficile per un malintenzionato accedere ai dati o alle risorse digitali dell’utente senza il suo permesso. Il funzionamento dell’autenticazione a due fattori si basa su due componenti di verifica distinti. Il primo è generalmente una forma di autenticazione basata sulla conoscenza, come una password o un Pin. Il secondo fattore, invece, si basa su qualcosa che l’utente ha o su un’informazione intrinsecamente legata all’utente. Può trattarsi di un codice temporaneo inviato al telefono dell’utente, di un token hardware che genera un codice unico o di un dato biometrico come l’impronta digitale o la scansione dell’iride. Questa combinazione di metodi di autenticazione rende l’accesso alle risorse digitali protette significativamente più sicuro. Anche se un malintenzionato riuscisse a compromettere uno dei due fattori non sarebbe in grado di accedere senza il secondo. L’autenticazione a due fattori è un’importante linea di difesa nella protezione dei dati personali e delle risorse digitali.

© Riproduzione riservata

Non perdere gli aggiornamenti sul mondo della farmacia

Riceverai le novità sui principali fatti di attualità.

Puoi annullare l'iscrizione con un click. Non condivideremo mai il tuo indirizzo email con terzi.