Comune che chiede verifica fisica dell'identità

Ciao a tutti, volevo segnalarvi una curiosa implementazione di SPID. Il Comune lancia l’11 dicembre scorso l’anagrafe on line, per cui i cittadini possono richiedere una serie di certificati on line senza recarsi fisicamente presso l’anagrafe comunale.

Si può accedere al servizio http://nomecomune.comune-online.it (erogato dalla Maggioli spa, a cui probabilmente è stato appaltato il servizio) in due modi: creando una nuova utenza o con SPID. Peccato che qualsiasi sia la modalità scelta, il Comune richieda poi di passare fisicamente in anagrafe per validare l’identità, mostrando all’ufficio comunale un documento di identità in corso di validità. In sostanza io mi loggo con SPID (identificazione “forte” con tanto di OTP), ma la pagina su cui atterro dopo il login mi dice che devo andare in comune per verificare l’identità. Bizzarro no?

La seconda lacuna, più grave, è che il sito è in http, va in https su SPID, torna ad http. Tendenzialmente direi che nè il fornitore Maggioli spa nè il Comune hanno avuto voglia e tempo di mettere il tutto sotto https. Grave perchè sull’anagrafe on line viaggiano non solo i dati di login/password ma anche tutti i relativi certificati.

che ne pensate?

2 Mi Piace

Grazie @Max_Kava per la segnalazione. Riguardo l’implementazione è un problema di “approccio al digitale”. Per questo punto verrà aggiunta alla spiegazione su come implementare SPID anche dove gli attributi SPID possono migliorare il flusso applicativo e quindi come utilizzarli. Riguardo l’uso di http questo non solo è un errore nell’implementazione di SPID ma anche nel rispetto delle misure minime di sicurezza.
Domani stesso prendo contatti con il Comune e con Maggioli.

Ancora grazie per la segnalazione.

Umberto Rosini
Agenzia per l’Italia Digitale

1 Mi Piace

Aggiornamento, mi ha risposto oggi via PEC (alla mia PEC) il Comune, dicendomi che:
"Buongiorno sig. Cavazzini,

nel ringraziarla per la segnalazione provo a risponderle ai due punti:

  1. Nell’uso dello SPID la procedura reindirizza erroneamente sulla pagina di autenticazione standard proponendole la stessa prassi senza SPID. E’ un errore che conosciamo ed è in attesa di correzione. Se prova a rieffettuare l’accesso in realtà risulta correttamente certificato ed abilitato e può usufruire dei servizi senza doversi recare presso lo sportello.

  2. Per la mancanza del protocollo https ne siamo consapevoli ed in attesa che il servizio (Maggioli come da lei rilevato) venga migrato per il problema di sicurezza. La questione non si pone per l’accesso con lo SPID.

Grazie per il supporto e ci scusiamo per il disservizio."

sul punto 1) hanno probabilmente abilitato a manina il mio username dopo la segnalazione. Speriamo correggano l’errore per tutti.

Sul punto 2) teoricamente Maggioli non dovrebbe offrire un servizio http perchè non rispetta i requisiti minimi di sicurezza (o, se volete, i comuni non dovrebbero prendere in considerazione servizi non sicuri cambiando fornitori), non sono sicurissimo comunque il punto SPID sia corretto (se i token si passano da http a https, il pezzo in https - nel caso il login SPID - è sicuro, ma il punto di ingresso e il punto di atterraggio in http non lo sono… o sbaglio?).

Ciao @Max_Kava,
concordo che ormai by default tutti i servizi devono essere erogati in https, relativamente a SPID chiediamo che si utilizzi l’ultima versione TLS stable (attualmente attestata alla 1.2).
Il problema potrebbe essere, tra gli altri, un attacker che intercetta l’asserzione di response e la può utilizzare sul SP. Ovviamente la response non può essere modificata perchè firmata dall’Identity Provider.

Umberto Rosini
Agenzia per l’Italia Digitale

1 Mi Piace

Buongiorno,
ringrazio per la segnalazione, confermo che si tratta di refusi in sede di attivazione dei servizi prontamente risolti
a) era stata lasciata una “landing page” vecchia (antecedente all’attivazione di SPID) relativa esclusivamente alla gestione credenziali tradizionali utente/password che, tra le altre cose, sono in via di dismissione.
b) non era stato disabilitato il protocollo http, attualmente è possibile accedere ai servizi SOLO in https.
Queste sono le configurazioni standard adottate un centinaia di altri siti di servizi al cittadino che stiamo migrando a SPID.

Stefano Facondini
Maggioli spa

2 Mi Piace

Grazie mille Stefano :slight_smile:

Umberto Rosini
Agenzia per l’Italia Digitale

Grazie per la risposta. Bene così. Mi permetto “solo” di suggerire un controllo ex ante ed ex post dei servizi, in modo da controllarne la rispondenza ai criteri minimi di sicurezza (ovvero: se non sono rispettati il servizio non va on line).

Buon lavoro!

1 Mi Piace