Skin ADV

Autenticazione multifattoriale per le Reb: cosa c’è da sapere e cosa va fatto entro il 31 gennaio

Filiera

Le farmacie hanno tempo fino al 31 gennaio per certificare l’indirizzo di posta elettronica dal quale dovranno passare i codici della cosiddetta Multifactor authentication (Mfa), ossia il sistema di autenticazione con cui dal primo di febbraio si dovranno ricevere e spedire le ricette bianche dem. La novità è nell’aria da alcuni mesi e più precisamente da metà giugno, quando è entrato in vigore il decreto del Mef che detta nuove e più sicure modalità di accesso al Sistema Ts di Sogei e, dunque, a Sac e Sar collegati. La novità discende dalla direttiva Ue 2015/236620 sui servizi di pagamento nel Mercato unico, che dal 2021 impone a banche e istituti sistemi di autenticazione “forti” per contrastare hacker e truffatori.

Chi usa l’home banking si è già familiarizzato con la Mfa: in pratica, rientrano in tale categoria tutte soluzioni che aggiungono un’ulteriore chiave di riconoscimento alle due tradizionali rappresentate da user id e password: codici Otp inviati per sms, sequenze alfanumeriche trasmesse via mail, impronte digitali sullo smartphone, chiavette e altro ancora. Con le ricette ormai quasi totalmente digitalizzate, Mef e Sogei hanno ritenuto opportuno estendere la Mfa anche alle prescrizioni, per ora soltanto quelle emesse dai medici in regime privato (le cosiddette Reb) ma è convinzione di tutti che lo step successivo sarà quello di estendere l’autenticazione multifattoriale anche alle ricette Ssn. «Il passaggio a un’autenticazione forte, a due o più fattori» commenta a Pharmacy Scanner Alessandro Avezza, country manager e vicepresidente area Italia di Cgm «è essenziale per garantire la sicurezza dei dati sanitari, che evidentemente sono meritevoli di massima attenzione. Invitiamo tutte le farmacie, a cui riteniamo sia mancata una puntuale comunicazione nei mesi passati, di allinearsi rapidamente, in particolare con la certificazione della mail laddove richiesto, onde essere pronti prima del 31 gennaio. Come Cgm stiamo dando il massimo supporto con più task force dedicate, webinar e documentazione apposita, che però non sempre viene letta».

Il fatto è che il decreto ministeriale avrebbe dovuto entrare in vigore per settembre, poi Sogei e Regioni hanno spostato il termine al 31 dicembre per necessità tecniche e infine le farmacie (tramite Federfarma) hanno chiesto un ulteriore slittamento, che Ragioneria Generale dello Stato e Garante della privacy hanno concesso il 29 dicembre scorso. Un mese di tempo ancora, che quindi ha spostato al primo febbraio la data dalla quale, in presenza di una Reb, i farmacisti accederanno a Sac o Sar soltanto con l’aggiunta di un ulteriore codice di accesso, richiesto preventivamente al Sistema.

La buona notizia è che – ad ascoltare le software house – tutti i gestionali delle farmacie sono già stati adeguati e dunque possono inviare automaticamente a Sac e Sar la chiave di accesso (il cosiddetto Identificativo di Sessione, che va aggiornato a ogni nuova sessione). Quella meno buona è che – nel Paese delle ventuno repubbliche sanitarie – le Regioni hanno optato per soluzioni tecniche spesso diverse tra loro, da cui procedure e istruzioni differenti per la certificazione preventiva delle mail, l’obbligo di disporre di Spid (Sistema pubblico di identità digitale) e il periodo di validità delle chiavi ID-Sessione.

Cominciamo dal caso più frequente, quello delle Regioni che utilizzano il Sac. In questo caso, l’operazione che l’incombenza che le farmacie devono risolvere celermente (cioè entro il 31 gennaio) è l’accreditamento sul portale del Sistema Ts della casella mail (della farmacia stessa, del titolare, del direttore o di un referente) dove si vuole ricevere l’ID-Sessione, ossia la chiave di secondo livello da inserire nel gestionale (che lo trasmetterà a ogni interrogazione del sistema). Attenzione: poiché per il primo accreditamento è richiesto lo Spid, è sconsigliabile procedere all’operazione a poche ore dalla scadenza di fine mese. Altra nota: l’ID scade  quando sono passate 16 ore dall’avvio della sessione; quando accade, va richiesto un nuovo ID-Sessione (senza però la necessità di usare lo Spid, a meno che la richiesta non venga fatta direttamente sul portale del Sistema Ts) che va poi memorizzato nel gestionale.

 

Regioni Piattaforma  Tipo Mfa  Durata max singola sessione  Richiesto Spid 
Abruzzo, Basilicata, Calabria, Campania, Friuli VG, Lazio, Liguria, Marche, Molise, Piemonte, Sardegna, Sicilia, Toscana, Umbria, Valle d’Aosta SAC ID-Sessione inviato via mail all’indirizzo di posta elettronica (della farmacia o del titolare) preventivamente accreditato sul portale Sistema Ts tramite Spid, Cie etc. L’ID-Sessione va inserito nel gestionale. Da documentazione ufficiale Sogei, almeno 8 ore. In realtà risulterebbe che la durata sia stata estesa a 16 ore, trascorse le quali l’ID scade e va rinnovato. In caso di emergenza o malfunzionamenti, è anche possibile richiedere l’ID-Sessione direttamente dal portale del Sistema Ts. Solo all’inizio per la prima certificazione della mail, no per le richieste successive.

Occorre invece lo Spid in caso di richiesta diretta di un ID-Sessione al Sistema Ts.

Veneto SAR Necessario il preventivo accreditamento della mail sul portale regionale. L’ID-Sessione va inserito nel gestionale. 16 ore No
Prov. Aut. Trento SAR Necessario il preventivo accreditamento della mail sul portale della provincia. L’ID-Sessione va inserito nel gestionale 16 ore No
Prov. Aut. Bolzano SAR Rinvio normativa al 31 gennaio ’24
Puglia SAR Mfa non necessaria in quanto l’attuale modalità di accesso al Sar, tramite smart card, già garantisce l’autenticazione a due fattori.
Emilia Romagna SAR Per ogni sessione il farmacista deve richiedere un “token” al portale del sistema di accoglienza regionale, utilizzando ogni volta il proprio Spid. 16 ore
Lombardia SAR Accreditamento attraverso Spid o Carta Siss su portale regionale, passando da gestionale tramite Api Manager (non è prevista la registrazione della mail) 8 ore  

No usando postazione Siss, sì se si accede direttamente al portale.

Tabella a cura di Pharmacy Scanner in collaborazione con Cgm Italia

 

Le Regioni che utilizzano un Sar, invece, fanno ognuna caso a sé (vedi tabella sopra). In Veneto, per esempio, occorre accreditare la mail come col Sac (una sola volta, all’inizio) ma l’operazione va fatta sul portale del sistema regionale e non occorre lo Spid. In Puglia invece non servono né mail né accreditamento, perché l’autenticazione multifattoriale è garantita dalla smart card che farmacie e operatori sanitari devono utilizzare per accedere al sistema di accoglienza. In Emilia Romagna, invece, non si utilizzerà un ID-Sessione ma un “token” individuale che ogni farmacista deve richiedere al Sar regionale, utilizzando ogni volta il proprio Spid. Anche in Lombardia, infine, è previsto un accreditamento semplificato (senza mail né Spid) ma l’ID-Sessione avrà validità massima di otto anziché sedici ore.

Altri articoli sullo stesso tema