App CIEID

Il fatto che sia utilizzabile su pc è purtroppo una soluzione molto relativa: ben sappiamo che la necessità di accesso è spesso necessaria “away” e non “home”, specialmente appunto quando si tratta di dover effettuare il login per (conto di) un familiare (es. genitore anziano) e non per sè stessi. Certo, aspettiamo ed attendiamo, altro non possiamo fare…

Con una sola parola: sagace!

Appunto è da quando la stessa funzione è stata disponibile nella versione PC che tutti la aspettiamo anche per smartphone.

Non conoscevo il problema dell’associazione multipla, finora ne ho fatta una sola. Fossi sviluppatore di queste applicazioni non mi verrebbe in mente mai e poi mai di introdurre limitazioni assurde di questo tipo. E giustificate da cosa, poi? La CIE fa da token unico cosi’ come e’, il rischio di abuso o furto d’identita’ e’ praticamente nullo. Ogni paletto e limitazione in piu’ non aggiunge sicurezza ma grane, e parecchie.

Si è più o meno quello che pensano tutti.
Ad esempio se si hanno figli minori di 14 anni che non posso avere lo SPID diventa comodo che i genitori possano associare la CIE del figlio sul loro smartphone per autenticarsi in caso di bisogno.
Ma anche figli o figli con genitori molto anziani, marito e mogli, ecc.
Quella limitazione non ha senso visto che la CIE non ha una associazione di suo ad un numero di telefono.
E visto che la CIE è uno dei sistemi di riconoscimento online principali la sua App deve avere questo tipo di flessibilità.
Ed adesso che anche la Tessera Sanitaria - Carta Nazionale dei Sevizi ha la connessione NFC anche questa dovrebbe avere una sua App, magari un’app unica per CIE e TS-CNS se fosse tecnicamente possibile.
Teniamo presente che ormai per tantissimi italiani lo smartphone e/o Tablet sono i principali, se non in molti casi unici, strumenti con qui si accede a internet ed a tutti i vari servizi, scuola, sanità, utenze, banca ecc.

Se uno smartphone qualsiasi con NFC potesse venire utilizzato come dispositivo di interfaccia a un desktop qualsiasi al posto di un lettore classico, sarebbe un’ottima cosa. Ma dovrebbe essere semplice come una pennetta di memoria flash. Uno stick non funziona? Se ne usa un’altro. Ma se occorre un software particolare di configurazione e questo associa il MAC del dispositivo di lettura a un determinato numero di tessera (o codice fiscale) e non e’ possibile abilitare piu’ di una tessera sullo stesso dispositivo c’e’ da uscirne folli. Sistema totalmente ingestibile. L’intera questione e’ cosi’ demenziale che fatico a credere che la si possa avere pensata. Chi ha scritto le specifiche? Probabilmente addurranno i classici motivi “per la sicurezza”, “contro gli hacker” e altre trovate simili.

Tecnicamente non dovrebbero esserci problemi. Basterebbe decidere in questo senso. Ma la TS e’ gestita dal Ministero delle Finanze e dalle Regioni e la CIE dal Ministero dell’Interno e dai Comuni. Il discorso e’ chiaro, non credo che occorra aggiungere altro.

Esempio pratico. Smartphone con lettore NFC e interfacce di telefonia mobile, WiFi, Bluetooth. Una app di lettura CIE. Nessuna associazione preliminare: si avvicina una CIE, vengono presi quei dati. Trasmissione via Bluetooth a un desktop/ laptop che per forza di cose deve trovarsi a pochi metri. Client sul desktop per l’accesso ai servizi PA. Il client comunica quindi con la CIE via bluetooth - app su smartphone - lettore NFC. In alternativa via lettore fisico collegato a porta USB.

Soluzione alternativa/ aggiuntiva. Smartphone con lettore NFC e client di accesso ai servizi PA. Usa i dati della carta che vi e’ appoggiata sopra, senza bisogno di associazioni preliminari.

Qualcuno sa dirmi in che cosa questo ragionamento non funziona? Si aprono falle mostruose di sicurezza? Dove?

Attenzione già adesso per la CIE c’è identificazione ibrida, cioè tu vai su un sito dal PC, e per autenticarti usi l’app CIE sullo smartphone senza che lo smartphone debba comunicare direttamente con il PC, ovviamente ad un certo punto devi appoggiare la CIE sullo smartphone in modo che possa avvenire l’autenticazione, il PIN della CIE lo inserisci sullo smartphone prima di appoggiare la carta, oppure al posto di inserirlo a mano usi l’autenticazione biometrica per inserire il PIN in maniera automatica.
Tutto questo rende molto più sicuro usare la CIE per autenticarsi quando non si usa il proprio PC.

Sul perché l’app su smartphone non permetta di associare più CIE e perché l’app sia su smartphone che su PC abbia PRIMA bisogno di registrare le carte che POI andrà ad usare sono domande interessanti che in tanti si sono fatti, a quanto ne so io non c’è una risposta ufficiale.

Bisognerebbe chiederlo a chi a scritto l’app, non so se ci siano motivi tecnici per i quali l’app deve prima registrarsi la CIE, ma la cosa succede sia sull’app per smartphone che su quella per PC, quindi forse una ragione c’è, magari per iniziare l’autenticazione che sia ibrida o meno sono necessari dei dati presenti nella CIE e che devono essere inviati e quindi la CIE deve essere prima registrata nell’app.
Personalmente ho pensato che il fatto che l’app sia su smartphone che su PC richiedesse la registrazione della CIE fosse un passo necessario per poter gestire più CIE, ma probabilmente mi sbaglio.

@RiccardoS
L’unico motivo al quale posso pensare e’ che si vogliano associare le credenziali biometriche alla CIE. Ma a questo punto avremmo un’identificazione a tre fattori, un po’ eccessivo. E limitante.

Come ho gia’ avuto occasione di scrivere in questo Forum da alcuni mesi ho la residenza virtuale estone. E’ di una semplicita’ cristallina, quasi disarmante. Una smartcard classica con contatti, chiave a 2k, gestore generico di lettore tanto che funziona praticamente come plug and play anche in ambiente Linux. Se non c’e’ bisogno della firma digitale si puo’ anche fare a meno di installare il middleware. Livello di sicurezza europeo 3 “High”.

Questo per una funzione aperta a tutto il mondo e in un paese estremamente sensibile alla sicurezza. Hanno i russi alla porta e devono difendersi da continui attacchi hacker. Eppure la card funziona bene, da’ l’accesso a eIDAS senza problemi. Temo che con la sicurezza da noi ci siano molte piu’ paranoie del necessario. Chissa’ quante aziende software e di consulenza ci marciano.

No sarebbero sempre due fattori, la biometria serve per inserire in automatico il PIN della CIE.
A me sembra che la registrazione della CIE nell’app sia stata inserita per permettere poi l’uso di più CIE diverse, solo che questa funzione non è stata ancora aggiunta all’app.

Abbinamento carte e App/lettore. Mi chiedo in che termini l’utilizzo del CIE attraverso App o lettore possa essere utilizzato con più carte. Spiego meglio. Mi trovo a dover operare con diverse persone che per motivi diversi non sono in grado di utilizzare “tecnologia” in passato una adeguata delega cartacea sopperiva. Mi chiedo se e in che termini la vecchia delega possa essere surrogata dalla CIE. La persona arriva, posiziona il suo documento su un dispositivo e con questo gesto ti autorizza ad operare in sua vece. Probabilmente la faccio facile ma decisamente questa è l’operatività che la persona che ho di fronte chiede. Sbaglio a pensare che la CIE si presti a questo uso. Grazie a chi vuol dare il suo contributo

Se la persona si presenta la prima volta e’ necessaria l’associazione della CIE al PC, per cui sono richieste le 8 cifre del PIN (parte 1 e parte 2). Da quel momento in avanti si puo’ fare login sui vari siti solo con la parte 2 come PIN. In un menu’ si sceglie quale carta usare. Ignoro se ci siano limiti al numero di carte che possano venire associate al software di gestione.

Non credo che la legge preveda o permetta l’uso di credenziali informatiche a nome di altri a meno di una decisione di tribunale. La legge si basa implicitamente sul fatto che ogni italiano abbia desktop, cellulare, stampante e skill medio-avanzati di informatica. Da tutte le parti e’ indicato di non segnalare il PIN a terzi. Ma allora la pensionata ottantenne che vive con la minima e deve fare una verifica al sito INPS appoggiandosi a un patronato come fa? Puo’ dare la CIE al consulente, ma non puo’ comunicargli il PIN.

No i patronati usano un altro sistema di autenticazione, ti fanno firmare un foglio con cui li autorizzi ad accedere ai tuoi dati INPS, e poi fanno tutto loro, come il commercialista quando presenta la dichiarazione dei redditi a tuo nome.

@RiccardoS

Giustissimo. Patronati e commercialista hanno questa possibilita’. Ma per quanto riguarda informazioni sensibili dove la delega non e’ prevista, come l’accesso alla cartella sanitaria personale? Secondo la legge un figlio puo’ conoscere i PIN della CIE dei genitori per aiutarli a gestire le loro pratiche? Immagino poi che nella realta’ questo avvenga in milioni di casi senza che si richiedano permessi particolari.

Per questo c’è SPID… che non pretende che tu abbia con se la CIE dei genitori.

Perche’ SPID forse non e’ personale? Con proibizione di comunicare ad altri le credenziali? E lo smartphone obbligatorio deve essere quello dei genitori, dei nonni o del figlio o nipote che entra in Internet? Se Nonna Papera non ha lo smartphone che usano invece Qui, Quo e Qua che pratiche le occorre seguire per attivare SPID? Puo’ Nonna Papera segnalare il telefono di un minorenne? E al raggiungimento della maggiore eta’ come fanno Qui, Quo e Qua a richiedere lo SPID se nei loro smartphone ci sono le credenziali di Nonna Papera? Ma forse i fornitori di telefonia e di identita’ di Paperopoli sono flessibili e hanno risolto questi problemi.

Esistono le regole ed esistono le usanze.
Le regole dicono che tutto è personale, se non sei in grado di effettuare le operazioni essenziali per la vita civile, hai bisogno di un amministratore di sostegno.
Se scegli questa strada, Poste ti permette di fare SPID per la persona di cui sei amministratore.
Poi esistono le usanze, per cui un figlio fa delle cose per conto dei genitori; ha il PIN del bancomat, le credenziali del cc, paga le bollette, fa la dichiarazione dei redditi, etc.
Per fare queste cose hai bisogno di accreditarti come la persona di cui ti occupi. La CIE è scomoda perchè la devi togliere al proprietario. SPID è comodissimo e permette di fare tutte queste cose.
E si! Hanno tutti un cellulare, pure i 90enni. Fattene una ragione.
Se non ce l’hanno usi differenti IDP con il tuo stesso numero di telefono.

Sono abbastanza dispiaciuta di leggere tutte queste risposte pressapochiste e prive di buonsenso.
Per inciso: un novantenne solitamente acquista un telefono con poche funzionalità perché più facile da utilizzare. Auguro a chi risponde diversamente di arrivare a novant’anni e trovare gestori di servizi dotati di maggiore buonsenso!

Detto questo…,
La domanda è molto semplice: ho 3 figli, minori di 14 anni, di cui uno disabile. Vista l’ età anagrafica non possono, PER LEGGE, avere uno smartphone. Qual è la soluzione per gestire i loro 3 account CIE più il mio da smartphone???

Nessun problema, con lo smartphone puoi gestire tutte le cie che vuoi, solo non. Contemporaneamente. Ma non è necessario farlo in nessuna circostanza.

conosco 3 alternative, ma non le ho testate fino in fondo:

• associare ogni volta la CIE voluta alla app CIEid, come illustrato qui sopra da Ettore Mazza;
• creare 4 account sul telefono, uno per persona ed associare le 4 CIE, una per account. Occorre dunque fare cambio di account del telefono per accedere alle CIE della prole;
• se i due coniugi hanno un telefono ciascuno, è anche possibile partizionare i telefoni per uso privato e lavorativo, di fatto consentendo di avere due versioni di ciascuna app, inclusa CIEid.

Una ulteriore possibilità sarebbe di tenere i vecchi telefoni e usarli solo allo scopo CIE sotto wiFi, ma vi possono essere rischi di obsolescenza anche in termini di sicurezza.