Dematerializzare la CIE

Ricordo male oppure era previsto (ed è stato così per un po’) il fatto che con gli ultimi aggiornamenti dell’app CieID bastava associare la carta al proprio smartphone e non sarebbe stato più necessario fargliela leggere tutte le volte che ci si voleva autenticare con CIE? Al momento attuale bisogna sempre far leggere la carta al dispositivo, rendendo l’esperienza di autenticazione quanto di più lento si possa immaginare.

Lento - ma sicuro. Io non mi fiderei a dematerializzare le procedure di identificazione su software dei quali le autorita’ europee non hanno a disposizione i sorgenti e nessuno sa come effettivamente funzionano. Altrimenti non manchera’ molto che qualche hacker piu’ scafato degli altri ci rubi l’identita’. Perche’ facilitargli il lavoro?
Preferisco che la mia chiave privata resti su una carta esterna, separata dal device usato per l’identificazione e soprattutto dal sistema operativo che lo gestice :wink:

1 Mi Piace

Per autenticarsi con cie senza far leggere la carta , bisogna attivare i livelli 1 e2 .
https://www.cartaidentita.interno.gov.it/info-utili/entra-con-cie-livelli-1-e-2/

1 Mi Piace

Ho attivi tutti i livelli, ma credo di aver capito: la richiesta o meno della carta fisica dipende dal sito a cui ci si autentica. Ad esempio il sito dell’INPS non richiede la carta fisica ma si deve inserire a video un codice ricevuto tramite SMS, altri invece richiedono la presenza della carta fisica. Bene, almeno sono sicuro di non aver sognato questa procedura senza carta!

L’identificazione prevede tre livelli, da 1 (debole) a 3 (molto forte). Se per un sito e’ sufficiente il livello 1 o 2, quindi accettando un potenziale rischio nella determinazione dell’identita’, allora l’identificazione puo’ avere luogo con procedure semplificate, tipo invio di SMS. Se il sito richiede sicurezza vicino alla certezza assoluta, allora e’ di livello 3 e la carta fisica e’ necessaria. Se un hacker accede al sito INPS al massimo puo’ trovare informazioni riservate ma finisce li’. Il livello 3 serve per operazioni sensibili, come aprire un’attivita’ o presentare una dichiarazione fiscale. Li’ e’ meglio non correre rischi.

1 Mi Piace

Si ma le applicazioni non sono a codice aperto in modo completo, solo l’sdk lo è.

@IPZS-CIE

Preferisco in modo assoluto qualsiasi soluzione che comporti l’uso di una carta fisica in un lettore connesso a un PC desktop. In subordine SMS. Da evitare in assoluto smartphone.

The Great Dumbening™ started the day smartphone internet traffic
overtook that of desktop PCs.
(user moonbat on https://forum.palemoon.org 12 Aug 2024 04:21)

1 Mi Piace

Concordando a pieno con @Lucio_Chiappetti e @GiP in merito alla scarsa affidabilità delle procedure di dematerializzazione e quindi alla maggiore fiducia nei confronti della presenza costante di un supporto fisico più complicato/macchinoso da duplicare/manomettere, invito però a modificare l’uso improprio del termine “hacker” (probabilmente è un refuso in particolare su questa conversazione da parte di @GiP ma prensente anche in altri post/topic di altri - il senso ovviamente era chiaro :slight_smile: ), considerando la funzione importante di questo forum (spesso unico o quasi) riferimento per la PA. Il termine corretto da usare è “cracker” se parliamo di violazioni (di legge, di privacy, ecc.) o piraterie (licenze…). Tutti quelli che tentano di risolvere problemi sono hacker nel campo delle ICT, in questo caso anche chi - se volete a basso livello come accade spesso in questo forum - non è informatico di professione/passione.

1 Mi Piace

@ander2712 Grazie per la precisazione!
Sono molto attento alle notizie mediatiche su questo tema. Un cracker non si inserisce praticamente mai sul canale digitale tra la vittima e la sua banca, ma usa piu’ o meno avanzati metodi di phishing. A questo punto anche una sicurezza 10FA non servirebbe perche’ ci obbligherebbe a scrivere password e risposte da tutte le parti e al primo imbonitore bravo ci cascheremmo comunque.
Preferirei metodi quali l’identificazione positiva e certificata di chiunque apra un conto in banca e a maggior ragione per carte di credito. Si potrebbe anche pensare a un ritardo artificiale di alcuni giorni per pagamenti verso paesi problematici o anche a escrow acconts. Non pago il fornitore ma blocco la somma in banca. Se la merce arriva e non e’ difettosa il pagamento parte, altrimeni no.
Dovrebbe essere semplice, ma il sistema finanziario-bancario preferisce riempirci di app. Pochi giorni fa non sono riuscito a pagare un biglietto ferroviario di 20 EUR causa complessita’ delle procedure, carta di credito con verifica bancaria tramite 3D. Alla fine ho fatto alla macchinetta in stazione :wink:
Dato che molti di noi hanno lettori per CIE/ TS e le carte di credito sono NFC, perche’ le banche non offrono un POS casalingo? Appoggio il bancomat sul lettore, digito il pin. Esattamente come al POS in negozio. O come con la CIE. Oppure usare direttamente la CIE per i pagamenti, la banca mi riconosce (CIE & pin), procede all’addebito.
Troppo semplice. E a vera prova di cracker. Probabilmente questo e’ il vero motivo per cui non viene fatto.

1 Mi Piace