Le farmacie non attendano gli ultimi giorni di gennaio per espletare le procedure preliminari necessarie a operare da febbraio con l’autenticazione a due fattori in caso di spedizione di ricetta bianca dem. È quanto ricorda Federfarma in una circolare diffusa ieri per ricordare le incombenze legate al decreto del ministero delle Finanze del giugno scorso sulla Mfa, Multifactor authentication. In sintesi, dal 31 gennaio le farmacie potranno accedere alle ricette elettroniche bianche (Reb) su Sac o Sar non più con la sola chiave di accesso tradizionale (quella abitualmente utilizzata per accedere alle piattaforme Sogei o regionali) ma anche con una seconda chiave, chiamata “id-sessione”, da richiedere espressamente al primo collegamento e da rinnovare trascorsi un certo tempo (in genere 16 ore).
La novità, come FPress aveva già spiegato a settembre, discende dalla direttiva Ue 2015/236620 sui servizi di pagamento nel Mercato unico, che dal 2021 impone a banche e società di credito sistemi di autenticazione “forti” per contrastare hacker e truffatori. Chi usa l’home banking ha già familiarità con le procedure Mfa: in pratica, rientrano in tale categoria tutte soluzioni che aggiungono un’ulteriore chiave di riconoscimento alle due tradizionali rappresentate da user id e password: codici Otp inviati per sms, sequenze alfanumeriche trasmesse via mail, impronte digitali sullo smartphone, chiavette e altro ancora.
La soluzione scelta da Sogei per il Sac prevede l’invio dell’id-sessione tramite posta elettronica, a una casella mail indicata dalla farmacia e certificata per evitare che eventuali pirati l’intercettino. Per tale motivo, le farmacie (quelle, lo ripetiamo, che risiedono nelle regioni dove ci si appoggia direttamente al Sac di Sogei) devono procedere all’autenticazione dell’indirizzo mail entro il 31 gennaio, pena l’impossibilità di procedere alla spedizione delle reb dal giorno successivo. E per farlo, occorre che il farmacista (il titolare o il direttore) sia fornito di identità digitale Spid, Cie, Ts-Cns o altro). Proprio per tale motivo, è quindi la raccomandazione di Federfarma, sarebbe consigliabile che i farmacisti non attendessero l’ultimo minuto per adeguarsi.
E le farmacie che operano con Sistema di accoglienza regionale (Sar)? Qua ogni regione o quasi fa storia a sé. Come si desume dal prospetto sotto, lo Spid è necessario anche in Emilia Romagna, non per accreditare la casella mail ma a ogni richiesta di un nuovo codice di accesso. Non serve invece in Veneto, provincia autonoma di Trento, Puglia e Lombardia (vedi tabella in fondo).
In Puglia, in particolare, non saranno necessarie procedure aggiuntive perché la Mfa è già oggi garantita dalla smart card di cui ogni operatore dev’essere dotato per accedere al sistema informativo regionale. Stesso discorso in Lombardia, dove l’accesso avviene con la Carta Siss e l’Api manager del gestionale, rendendo quindi inutile l’accreditamento preventivo della mail. «Un’ulteriore semplificazione» spiega a FPress Giampiero Toselli, segretario regionale di Federfarma Lombardia «arriverà con l’attivazione del Punto unico farmacia (Puf): il titolare potrà accreditare sul sistema i suoi collaboratori, inclusi quelli che lavorano anche in altri esercizi, che così verranno automaticamente abilitati all’accesso».
Regioni | Piattaforma | Tipo Mfa | Durata max singola sessione | Richiesto Spid |
Abruzzo, Basilicata, Calabria, Campania, Friuli VG, Lazio, Liguria, Marche, Molise, Piemonte, Sardegna, Sicilia, Toscana, Umbria, Valle d’Aosta | SAC | ID-Sessione inviato via mail all’indirizzo di posta elettronica (della farmacia o del titolare) preventivamente accreditato sul portale Sistema Ts tramite Spid, Cie etc. L’ID-Sessione va inserito nel gestionale. | Da documentazione ufficiale Sogei, almeno 8 ore. In realtà risulterebbe che la durata sia stata estesa a 16 ore, trascorse le quali l’ID scade e va rinnovato. In caso di emergenza o malfunzionamenti, è anche possibile richiedere l’ID-Sessione direttamente dal portale del Sistema Ts. | Solo all’inizio per la prima certificazione della mail, no per le richieste successive.
Occorre invece lo Spid in caso di richiesta diretta di un ID-Sessione al Sistema Ts. |
Veneto | SAR | Necessario il preventivo accreditamento della mail sul portale regionale. L’ID-Sessione va inserito nel gestionale. | 16 ore | No |
Prov. Aut. Trento | SAR | Necessario il preventivo accreditamento della mail sul portale della provincia. L’ID-Sessione va inserito nel gestionale | 16 ore | No |
Prov. Aut. Bolzano | SAR | Rinvio normativa al 31 gennaio ’24 | ||
Puglia | SAR | Mfa non necessaria in quanto l’attuale modalità di accesso al Sar, tramite smart card, già garantisce l’autenticazione a due fattori. | ||
Emilia Romagna | SAR | Per ogni sessione il farmacista deve richiedere un “token” al portale del sistema di accoglienza regionale, utilizzando ogni volta il proprio Spid. | 16 ore | Sì |
Lombardia | SAR | Accreditamento attraverso Spid o Carta Siss su portale regionale, passando da gestionale tramite Api Manager (non è prevista la registrazione della mail) | 8 ore |
No usando postazione Siss, sì se si accede direttamente al portale. |