Se qualcuno lo permettesse sarebbe un bug. Poi ovvio che “il chilometraggio può variare”, o se ne accorgono seduta stante mentre inserisci il numero, o ti segano i due account dopo 3 mesi.
Però un pò di elasticità la stanno introducendo… ho notato che più IDP hanno introdotto app che permettono di gestire sullo stesso smartphone piu’ account. Mi riferisco a Infocert, Namirial e vedo che adesso anche Sielte.
Questo DOVREBBE significare che solo nella fase della registrazione è necessario fornire un cellulare non censito nell’archivio dell’ IDP
A me sfugge il nesso fra numero di telefono e identità digitale.
Va bene il mobile-first tendente al mobile o-nly, ma legare l’identità digitale - che, in un contesto digitale, è qualcosa di ontologicamente legato all’esistenza - al possesso di un numero di telefono, possibilmente mobile, è un artificio che non può essere (mi rifiuto di pensarlo) “normato” a nessun livello.
Altrimenti tocca citare un mio conterraneo: “l’e’ tutto sbagliato, l’e’ tutto da rifare!”
2 Mi Piace
Io penso che l’unico vero nesso è che il cellulare (tramite gli SMS) viene utilizzato al posto del token per motivi di opportunità/semplicità/costo e quindi nell’ottica di… qualcosa che hai e qualcosa che sai, il numero di cellulare deve essere univoco per ogni account/CF.
Il fatto è che, nonostante i tentativi dei “piani alti” di imporre un cellulare univoco (apparecchio, numero, app/sms) per persona, non riusciranno mai a scalfire le ritrosie di una quota di popolazione refrattaria all’estremismo digitale (anziani, disabili, atecnologici o ipotecnologici): chi magari usufruiva di un minimo minimo di mondo digitale ora a regime si troverà estromesso dalla telematica e ritornerà all’approccio tradizionale-cartaceo (di fatto la vedo come una brutta regressione). Sinceramente avrei apprezzato una tendenza diversa, meno elitaria, meno escludente… lo stesso SPID livello 2 non dovrebbe teoricamente essere necessario per ogni cosa.
Ripeto: dove sta scritto che per avere SPID serve un cellulare? E dove sta scritto che, se serve un cellulare, questo puo’ essere coinvolto in una sola indentità digitale?
E’ la normativa legislativa o tecnica? O sono scelte implementative (facilone) degli IDP?
2 Mi Piace
Penso che sia legato all’obbligo (quello sì normato da qualche parte, direi quantomeno a livello EIDAS) di verificare che chi si sta autenticando sia effettivamente chi dice di essere in un modo “più forte del solo user-pwd” (una cosa che l’utente SA, ma può passare).
Allora visto che non basta legare l’identità a user-pwd han pensato di legarla a qualcosa che è nella disponibilità del soggetto (e che costui si tiene ben caro e non affida a terzi) quindi, a qualcosa che l’utente HA. Un tempo, quei gingilli che generavano numeri non esattamenet casuali, ora un cellulare.
In futuro si va verso l’autenticazione tramite ciò che l’utente E’ (ossia i dati biometrici), ma si apre un mondo di problemi legati alla privacy. Quindi, allo stato la soluzione intermedia che garantisce un livello di sicurezza accettabile in base agli standard europei è stata trovata nella disponibilità del cellulare, che come giustamente si osservava è assai escludente. Il guaio è che altre cose di uso comune che l’utente ha (un mestolo, gli occhiali…) non sono in grado di comunicare con l’esterno.
2 Mi Piace
Beh, è interessante un progetto di Samsung per la carta di credito col lettore di impronte integrato. Abbiamo già la CIE che ospita le nostre impronte digitali in maniera sicura e a prova di Garante. Quindi si potrebbe anche pensare di muoversi in tale direzione in futuro, perché finché i dati biometrici restano nell’hardware sotto il controllo dell’utente non c’è grosso problema di privacy. Se il brevetto Samsung scadesse le CIE 4.0 potrebbero, chissà, implementare una simil tecnologia?
Purché ci si vada coi piedi di piombo! Con la biometria non si scherza!
Sinceramente inizio a pensare che tu abbia ragione poiché faccio fatica a risponderti. Diciamo che per il primo punto (perché serve il cellulare) lo vedo solo scritto su spid.gov.it ma non nelle regole tecniche. Sul secondo punto, ho provato a fare una verifica
Aruba disse: (enfasi mia)
Gentile cliente xxx,
ti informiamo che, a seguito delle attività di monitoraggio effettuate in qualità di Gestore delle identità digitali (art. 11 del DPCM 24 ottobre 2014), in data xx abbiamo temporaneamente sospeso l’identità digitale a te intestata.
La sospensione, eseguita a scopo cautelare, si è rivelata necessaria poiché i dati di recapito associati alla tua identità risultano condivisi con altre identità digitali.
Ti ricordiamo che tali dati rappresentano un canale di contatto riservato e devono necessariamente essere associati in modo univoco alle identità digitali.
E cosa dice il DPCM?
c) effettuano un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione delle credenziali di accesso dell’identita’ digitale di ciascun utente, procedendo alla sospensione dell’identita’ digitale in caso di attivita’ sospetta;
Si parla di attività sospetta, ma non si parla della fattispecie.
A questo punto ti direi che potresti anche avere ragione tu, che la legge non lo specifica (così come la legge non vieta di fare 100 rifornimenti da 1 cent, a buon intenditor…).
La questione è di ordine pratico e sulla cybersecurity ci entrano le best practice in costante aggiornamento. Siamo passati dall’epoca in cui i computer erano multi-utente (un pc per n utenti) all’avere più device per un singolo utente e non condividerli.
Di fatto (ripeto: non è scritto da nessuna parte) il numero di cellulare personale è associato sempre e solo a una persona, e cambia rarissimamente nella vita, forse mai. Io una volta sola ho dovuto cambiare numero perché dimenticai di ricaricare la SIM entro 365 giorni. Puff!
Allora si pone il problema del responsabile del trattamento, lo SPID provider. Per legge deve bloccare i casi sospetti, ma la legge non glieli indica poiché sono mutevoli. Le best practice indicano le casistiche invece. Anzi ti dirò pure di più. Se io mi loggassi tramite Tor potrei anche ricevere un blocco dell’identità digitale non perché semplicemente mi sto loggando da Hong Kong, ma perché 5 minuti fa ero geolocalizzato in Canada! La legge non impone una restrizione geografica, ma tutti i manuali di cybersecurity ti dicono che se rilevi accessi frequenti da IP geograficamente distanti devi far scattare un alert.
Riflettiamoci poi. Se Facebook, Instagram e Twitter chiedono spesso “per verifica” il numero di cellulare agli utenti, per evitare spam e bot automatizzati, anche loro vanno verso la regola dell’unicità del numero. E quali sono le leggi che governano i social? Nessuna, ma gli standard de facto restano gli stessi.
Ricordiamo che il tema è chiarissimo. La ratio, fino a quando non sarà introdotta la delega, è che l’identità è associata ad un individuo, ad una persona, non ad un principal generico. La ratio è impedire ai figli di usare lo SPID dei genitori, perché se sto autenticando Mario Rossi io sistema informatico penso di avere davanti Mario Rossi che esprime la sua volontà, non il figlio Carlo.
Quando e se verrà introdotta la delega il sistema saprà di avere a che fare con Carlo Rossi per conto di Mario Rossi, e probabilmente la fruizione dei servizi non cambierà. Ma la responsabilità sì.
1 Mi Piace
Condivido appieno questo ragionamento, difatti io non faccio SPID ma accedo con CIE, assurdo che i provider mi chiedano il numero di telefono
@frantheman non credo che la norma principe da cui promana il presidio giuridico all’identità digitale (il regolamento UE eIDAS) preveda l’obbligatorietà di un cellulare. Il problema è che se diventa una soluzione comoda (conveniente, veloce) da parte dei gestori IdP e l’apparato regolatorio non lo vieta (ovvero lo consente) tutti gli IdP lo impongono e tutti gli utenti lo devono usare, diventa uno standard de-facto ma resta anti-inclusivo per una fetta di popolazione “tecnologicamente aliena”. Faccio notare che un problema simile si pone per la CIE: cellulare NFC+app, oppure computer+middleware+lettore NFC… purtroppo mi rendo conto che non è facile soddisfare i pesanti requisiti della normativa di derivazione UE e sfortunatamente ho difficoltà a pensare alternative (anche se avrei preferito una combinazione username+password+pin, con un elemento rinnovabile a scadenza ravvicinata: sarebbe bastato fissare l’imputazione
e irripudiabilità degli atti compiuti e la responsabilità giuridica dell’interessato in caso di uso improprio altrui delle sue credenziali, evidentemente mal scelte o divulgate per dolo o colpa).
1 Mi Piace
Ecco, anche voi confermate che il cellulare unico (e italiano), sia per la fase di attivazione dell’identità digitale sia per le successive autenticazioni ai servizi degli SP, e’ una legittima scelta implementativa degli IDP che questi fanno nell’autonomia tecnologica che il legislatore ha loro concesso.
Per il secondo fattore dell’autenticazione si potrebbero usare i token OTP fisici (li avete citati anche voi) o molte altre forme attualmente disponibili.
Di nuovo, visto che dell’identità digitale lo Stato ha deciso di fare prodotto di mercato, il cittadino consumatore avrebbe modo di indirizzare le scelte degli IDP premiando quelli che implementano soluzioni piu’ vantaggiose per il consumatore e non piu’ facili per l’IDP stesso.
Comunque, chiedo scusa per aver portato fuori tema, si parlava di delega di identità (concetto impossibile per il diritto) che, ovviamente, non si ottiene con passaggi di possesso dei fattori di autenticazione ai servizi.
1 Mi Piace
Ritengo questo un argomento interessante e importantissimo (e non dimenticate questa frase iniziale, prima di criticarmi, per cortesia), ma credo si possa sconfinare troppo facilmente nel filosofico. Per esempio, in teoria già nel ventesimo secolo si sarebbe potuta fare una class action perché l’uso giuridico della firma imponeva (impone ancora) alle persone di possedere una penna biro. E se non desiderano comprarla o preferiscono non investire il proprio denaro in essa? Sono forse obbligati dallo Stato ad acquistare un bene di consumo?
Non sto scherzando. L’esempio insegna che bisogna trovare una quadra fra filosofia del diritto e praticità.
1 Mi Piace
@Luca_Valerio su questo cogli perfettamente nel segno ed è una grossa mancanza della nostra attuale situazione politica e culturale: in un’epoca ormai profondamente caratterizzata dal digitale, quale e’ la dotazione tecnologico-digitale minima della quale si deve disporre per esercitare i propri diritti di cittadinanza? Qualcuno che conta ha mai affrontato il tema? Forse si’, implicitamente, quando si decide che App IO, madre di tutte le soluzioni dei problemi di rapporti fra Stato e cittadini, è uno strumento che funziona SOLO su smartphone. Se sei cittadino DEVI avere uno smartphone. Quindi si’, si sta ragionando di filosofia, quando le direttive ci sono gia’ e potremmo concentrarci su come applicarle.
Cedo alla tentazione dell’OT tanto siamo fra di noi. L’esempio della biro lo uso spesso anche io (pur avendo bene in mente che la biro la puoi prendere in prestito da qualcuno senza inficiare il valore della firma). Allo stesso modo, di fatto, conviene avere una casa/residenza per ricevere la posta e, probabilmente, una casa di proprieta’ o in affitto e’ un bene meno accessibile di un cellulare. Oppure ancora, lo Stato tutela delle situazioni primariamente per alcune categorie di cittadini (es.: la maternità è tutelata primariamente per chi ha un lavoro). Quando si parla di digitale invece siamo impreaparati e siamo pronti a scandalizzarci che per accedere a un servizio online serva “la line”. Ma anche per accedere a un servizio a sportello serve la possibilità di raggiungere lo sportello.
Tornando allo specifico io non sindaco sul fatto che si debba avere un cellulare per attivare o accedere con SPID o uno smartphone per accedere con CIE, ma sul fatto specifico di SPID subordinato al possesso di un cellulare evidenziavo solo che si tratta di scelte aziendali di un venditore di identità digitali, non di impostazione della legge. Giusto per indirizzare correttamente eventuali rimostranze.
1 Mi Piace
Daccordo su tutto, però ritengo che tra le possibili soluzioni quella dello smartphone sia la più comoda per il cittadino.
Il token è talmente scomodo che praticamente tutte le banche che lo usavano (società private libere di procedere come credono) lo hanno abbandonato. In parte perchè non abbastanza sicuro, secondo la normativa, ma anche perchè non è comodo da portare in giro.
Lo smartphone lo ritengo un compromesso ragionevole. Certo, qualche anziano non lo possiede, ma nella mia esperienza pratica, quella persona O non sarebbe in grado di utilizzare i servizi online tout cour ovvero li userà da PC fisso o meglio ancora da Tablet.
Cmq per tornare onTopic…
Alla fine, per me almeno, SPID/CIE/IO etc… hanno semplificato di molto la gestione delle pratiche dei miei genitori.
Ora io sono, a tutti gli effetti, loro e risolvo molto più velocemente quasi qualunque problema.
Diciamo che ora la delega è diventata una procedura privata, in cui io ti delego dandoti le mie credenziali digitali. Per lo stato sono, a tutti gli effetti, io che procedo.
Credo anche che la giurisprudenza, presto, ne dovrà prendere atto, anche se il legislatore non ha previsto la fattispecie.
Non so se ti rendi conto delle implicazioni di quello che hai scritto, e che è verissimo.
“Ora io sono, a tutti gli effetti, loro”
Rileggilo.
Non compi per loro una operazione in banca, per cui magari la banca gli spedisce a casa la contabile cartacea, ma SEI loro ovunque. Più di un amministratore di sostegno che ha dei limiti di sostituzione, più persino di un tutore che rende il conto (o almeno dovrebbe) a un giudice tutelare. Tu puoi fare qualsiasi cosa facendo risultare che la stan facendo loro, presso qualunque ente pubblico o privato che accetti SPID.
Di fatto loro -persone fisiche- scompaiono in te. Loro anche volendo non potrebbero fare quel che fai tu (come farebbero invece andando personalmente allo sportello anche se ti avessero delegato al posto loro) perchè senza il tuo cell non hanno identità.
Adesso manco sanno che stai facendo qualcosa per loro, perchè non c’è neppure il simulacro della firma che facevano senza leggere il modulo che gli mettevi davanti.
Sono perfettamente d’accordo sulla comodità, ma rendiamoci conto delle implicazioni reali e potenziali (pensa in mano a persone disoneste che può significare) di questa sostituzione non regolamentata. La delega DEVE essere normata e tecnicamente implementata. Prima e più ancora per le fasce deboli della popolazione che per noi impiegati pubblici (che pure ne sentiamo il bisogno).
3 Mi Piace
Si Elena,
mi rendo conto, ma la vedo meno drammaticamente di te.
Chi è in grado di provvedere autonomamente a queste incombenze, si renderebbe subito conto di quello che sarebbe un “furto delle credenziali” ed esistono delle procedure per questa evenienza.
Per chi non lo è alla fine non cambia nulla, si sta fidando di affidare le proprie credenziali a qualcuno, come, prima del covid, si fidava di firmare quello che gli dicevo di firmare o confermava all’impiegato della banca quello che io gli avevo già chiesto.
In questi casi è il pragmatismo che ci salva.
D’altra parte, come scrivevo, “io sono loro”… davanti alla PP.AA., ma non davanti ad un eventuale giudice.
ma la cosa inaccettabile è che questa ipocrisia potrebbe essere evitata facendo caricare una semplice delega dal delegante alla specifica PA…come avviene per i liberi professionisti con l’inps e l’agenzia delle entrate
si tratta di estenderlo anche per il genitore che intende delegare il figlio (etc…)
1 Mi Piace
Guarda, sinceramente spero non lo facciano mai… riuscirebbero a rendere complicatissima una cosa che ora, alla fine, è molto semplice!
In un mondo ideale una persona fisica qualunque (non formalmente interdetta) dovrebbe poter accedere a tutti i servizi online personalmente. Dato che però così non è per tutti, è fondamentale implementare e regolamentare esplicitamente un sistema di deleghe, codificato, molto formalizzato e con una procedura aggravata (per ragioni di sicurezza in virtù della delicatezza delle implicazioni) in cui il delegante fissi i limiti della delega e le prerogative ad operare concesse al delegato (il primo deve essere conscio di ciò che comporta, non è una bagatella). Il delegato deve potersi presentare come se stesso e non impersonare il delegante fino a confondersi con esso: se è vero che agisce in suo nome e conto con l’imputazione degli effetti nella sfera giuridica del delegante, possono sorgere problemi di responsabilità civile contrattuale ed extra-contrattuale, penale, amministrativa, contabile, disciplinare ecc… (non è una buona cosa una confusione soggettiva). Una volta operante la delega è imprescindibile peraltro che ciò che viene compiuto entro i limiti della delega non venga disconosciuto, altrimenti perde senso…
1 Mi Piace