E adesso è il momento di entrare in Banca con SPID, no?

djechelon · 7 Ottobre 2020, 7:15pm

Scrivo il giorno in cui AGID twitta gli 11 milioni di identità digitali

Possibile che ancora oggi di tutte le Istituzioni finanziarie, o comunque tutte quelle realtà che prevedono regolamenti severi di KYC (Know Your Customer) sia in ambito finance che travel e mobility non abbiano ancora pensato vagamente di adottare SPID/eIDAS?

Attenzione, la dicitura “entrare” in Banca è fuorviante perchè già si è parlato altrove di sostituire il token bancario con l’autenticazione SPID. Procedura che ha vantaggi e svantaggi e non voglio trattare.

Parlo di sottoscrizione di servizi basati sull’identità reale nel settore privato, e con un occhio al mercato europeo.

Sappiamo tutti che in diversi settori, principalmente quello finanziario, in cui lavoro, è richiesta particolare diligenza e rigore nelle procedure di KYC. Gli adempimenti hanno come scopo la prevenzione del furto di identità e dunque la certezza della persona che sta operando, sia quando ci si presenta di persona con documenti potenzialmente illegali, sia online quando si ruba l’identità digitale di qualcheduno.

Chiaro che non ci ordino un portachiavi su eprice con l’identificazione sicura a norma (costa e viene vista come invasiva dal pubblico), ma per aprire un conto in Banca devo dimostrare di essere io. Vero è anche l’opposto per i viaggi, dove anche se per comprare un biglietto aereo questo va intestato al viaggiatore, lo può realisticamente comprare chiunque.

Ad oggi ancora diverse aziende del settore privato che introducono forme di KYC online utilizzano, con i “relativi” rischi che ne conseguono, il riconoscimento video del Cliente. A volte qualcuno si butta nel biometrico e lo fa fuori dalla UE. Non cito direttamente il nome dell’azienda, ma fino a un anno fa una ditta di “mobility” affidava il processo KYC a Jumio India. Jumio è un operatore specializzato nel KYC che usa algoritmi di riconoscimento biometrico applicati al documento di identità ed alla sessione in webcam del Cliente. Poi hanno stipulato un contratto con la sede europea della stessa Jumio

Esempi pratici:

Apro un nuovo conto corrente
Chiedo un finanziamento
Mi iscrivo ad un car sharing in Italia… o durante un viaggio in Europa, perché no!
Apro un conto presso un broker di criptovaluta
Aumento il mio livello di trust in un social specializzato in viaggi (che assegna reputazione opzionale a chi conferma la propria reale identità)

Tutte operazioni in cui si potrebbe dover fare un riconoscimento video del quale il provider memorizza diversi scatti ad alta risoluzione. Il rischio consiste nelle misure di protezione contro eventuali data breach con esposizione di materiale ad alta risoluzione raffigurante documenti di identità e dati biometrici dei cittadini.

Chiaro che il videoriconoscimento per attivare lo SPID uno lo farebbe una volta sola presso l’IdP e poi basta. Vedi esempio…

Caso di studio

Motivo per cui questo post è più un lamento, un “rant”.

E invece di spingere su SPID a tutta velocità, che ormai SPID (e perdonate se rischio di cadere nella banalità) se lo fanno solo quelli che devono chiedere denaro allo Stato, per qualsiasi legittimo motivo, vedi bonus vacanze, reddito di cittadinanza, fondi di emergenza, una delle nostre “9 sorelle” che fa di bello per promuovere i processi KYC smart?

L’azienda per cui lavoro, che non voglio/posso nominare, ha appena preso un progetto per conto di una finanziaria, che non posso nominare, sotto la partnership di una delle 9 sorelle che non posso nominare, per un nuovo sistema di KYC per la richiesta di finanziamenti

Oggi la Finanziaria chiede le foto dei documenti ed una sessione in videochat con il RAO della Certification Authority per emettere un certificato one shot con cui firmare la richiesta di finanziamento con firma digitale qualificata. Il finanziamento viene così emesso tutto in digitale.

Nel magico mondo di SPID il Cliente utilizzerebbe SPID, che tra l’altro asserisce il numero di cellulare e l’email certificati oltre che codice fiscale e altri dati personali, per creare il “pacchetto” di asserzioni che la CA userebbe per emettere il certificato. Attenzione, sappiamo che SPID e CIE non costituiscono firma digitale qualificata, ma al contrario una CA può sempre emettere un certificato one shot se ha l’asserzione in mano firmata dall’IdP. La sto semplificando ma è così.

E invece oggi? Si inventano l’ennesimo provider di identità basato su una app per cellulari, completamente slegata da SPID, senza reale valore legale, dove fare le stesse operazioni: confermare email, confermare cellulare, foto documenti, selfie e videochat col RAO. Poi sarà il RAO a emettere un certificato a valore legale su una asserzione, tecnicamente ma non legalmente inoppugnabile, in formato JSON-LD.

Cavolo, prendevate l’asserzione SAML di SPID e voilà. Un metodo “normato”, per muoversi in una direzione di “standardizzazione” magari. Magari integrando eIDAS fai il finanziamento al buon finlandese che si è trasferito in Italia e vuole arredarsi la casa appena presa in affitto. Wow…

Wow… continuiamo a mettere i nostri dati biometrici sulle banche dati altrui. La carta di credito si cambia… la distanza naso-occhi non è così facile…

Il mio intervento era principalmente una lamentela, essendo del settore ed auspicando una capillare diffusione di SPID (e in generale eID) sul territorio dell’Unione. Abbiamo uno strumento figo, ci inventiamo nuovi strumenti.

Il resto lo lascio ai commenti del forum.

Elena_S · 8 Ottobre 2020, 7:34am

Scusa, al di là del fatto che in fondo posso capire che un soggetto preferisca gestire lui tutto il processo di autenticazione di qualcuno invece di mettersi nelle mani di altri (ragion per cui non comprendevo perchè proprio lo Stato avesse delegato SPID interamente a soggetti privati), ho una domanda stupida: e proporre alla tua azienda l’uso di spid?

djechelon · 8 Ottobre 2020, 11:51am

Domanda legittima. In realtà nell’IT, almeno nella nicchia in cui lavoro io, non funziona così. Sono i Clienti a venirci a chiedere le cose. Sarebbe la Banca o la Finanziaria a dover chiedere, a noi, di integrare SPID

Elena_S · 8 Ottobre 2020, 12:32pm

Dappertutto è così. Ma può essere che magari non sappiano neppure che spid esiste. Potreste “rilanciare” con una controproposta: “e se invece di quello vi facessimo quest’altro che ha i vantaggi 1… 2… 3… potrebbe interessarvi?”

perrcla · 8 Ottobre 2020, 12:43pm

infatti funziona così… magari i clienti delle banche non vogliono usare spid

Scherzi a parte, spid lo vedo un pò complicato per le banche. A parte l’autenticazione iniziale, c’è l’autorizzazione dispositiva delle operazioni. Un pò difficile da gestire con spid.

djechelon · 8 Ottobre 2020, 12:45pm

Ma io parlavo unicamente di quella. Sono anche io tra i detrattori dell’uso di SPID ad ogni accesso ai servizi privati, quantomeno come obbligo. Poi se un Operatore vuole offrire la possibilità di loggarsi con SPID/CIE all’internet banking è liberissimo di farlo, non saprei il marketing come lo recepirebbe.

perrcla · 8 Ottobre 2020, 12:47pm

non ho capito, tu dici di usare spid per le autorizzazione dispositive?

djechelon · 8 Ottobre 2020, 1:03pm

No, per l’identificazione la prima volta. Intendo quando apri il nuovo conto

Cito me stesso

Andrea_Tironi1 · 8 Ottobre 2020, 1:26pm

Io collaboro (parola grossa) con un gruppo di lavoro (che invece lavora molto più di me) per spingere l’adozione di spid sui privati. Si chiama #ClubTi4SPID.

E’ comunque un push, non un pull.

Andrea

perrcla · 8 Ottobre 2020, 1:58pm

scusa, avevo inteso male.
Allora si, ben venga spid per la sottoscrizione di servizi bancari!

Elena_S · 9 Ottobre 2020, 10:13am

Io invece lo intendevo per accedere alle mitiche app che poi consentono le operazioni dispositive. Invece di OTP, mobile codes e simili, entri con SPID. Poi una volta dentro compri, vendi, bonifichi, paghi come al solito. Ma intanto so che sei tu.

Lazlu · 10 Ottobre 2020, 8:44am

Per me dovrebbero prima risolvere l’annoso problema dell’impossibilità di uso condiviso (se più persone hanno più identificativi SPID attestati sullo stesso gestore non è possibile usare un unico cellulare e un’unica app), ciò mina di molto l’usabilità, analogamente alla CIE … finché non si mettono in testa di semplificare l’uso per persone “normali” non decollerà più di tanto (e infatti i numeri sono scarsi).

dsigno · 12 Ottobre 2020, 9:33am

@djechelon a questo punto mi chiedo perché SPID e non la CIE per l’accreditamento iniziale (*)? E qui apro una parentesi tecnico/normativa relativa alla CIE che vorrei comprendere meglio. L’asserzione che arriva dall’attuale flusso di riconoscimento della CIE contiene solo nome, cognome, data di nascita e codice fiscale. Visto che il ministero dell’interno è depositario di altri miei dati perché non è stato scelto, in fase di produzione della asserzione e della relativa schermata di autorizzazione, di trasmettere più dati e lasciare inoltre facoltà all’utente di decidere quali dati trasmettere?
( * ) Tutto sommato la CIE ha un processo di accreditamento che è molto più rigoroso dello stesso SPID.

Per quanto riguarda l’utilizzo di SPID per l’autenticazione presso gli istituti bancari, non sono sicuro che copra tutti i requisiti della PSD2. Sapresti dirmi se sarebbe legalmente sostituibile l’attuale autenticazione PSD2 con SPID?

frantheman · 13 Ottobre 2020, 3:13pm

Secondo me chi fa business si fida poco e preferisce, anche in caso di contenzioso, un sistema che sia totalmente sotto il suo controllo. Oppure preferisce un non sistema (tipo per il bike sharing si accontentano di una carta di credito) e rimanda a dopo l’onere di individuare con certezza la controparte se proprio necessario.

In linea di massima penso che @djechelon (che ci ha dato qualche indizio stuzzicante sulla sua collocazione professionale…) ponga delle questioni ragionevoli e sarebbe utile anche alla governance pubblica di SPID (e di altre piattaforme abilitanti) approfondire e capire come mai il privato se ne tenga alla larga.
In effetti, se devo “presentarmi” e “identificarmi” a uno sportello bancario online che non mi ha mai visto, cosa meglio di SPID o CIE? A parte che lo sanno tutti che si tende ad affidare questi strumenti a parenti meno tecnoimpediti…
Non puo’ essere solo una questione di macchinosità della procedura, perche’ oggettivamente ci sono procedure messe in piedi da privati che sono cosi’ incomprensibili, vessatorie e lunghe che se le facesse l’INPS o un qualsiasi ministero o agenzia pubblica si chiederebbe a gran voce la testa di qualcuno e si griderebbe allo scandalo.

RegioneMarcheCirillo · 16 Ottobre 2020, 3:59pm

Io invece mi meraviglierei che un privato in grado di sviluppare in autonomia un sistema di autenticazione sicuro ed affidabile, pensasse di utilizzare SPID.
Proprio in questi giorni mi trovo ad aggiornare il metadata del nostro Service Provider per quello che nel mondo normale sarebbe un banale cambio di certificato, ed ovviamente quello che era valido lo scorso anno (ed attualmente è in produzione) non è più buono, a causa degli ennesimi avvisi di cambio specifiche che costringono a rivedere ogni volta le proprie configurazioni (ovvero: spendere ore di lavoro).
A parte chi è costretto, chi vorrebbe mettersi in questa situazione?

Andrea_Tironi1 · 20 Ottobre 2020, 12:47pm

Se volete capirne di più:

Martedì 20 pomeriggio alle 17:30 , AIPSI e Club TI tengono un webinar su " Come rendere sicuro il login del cittadino "